万字总结信息收集(全网最全)
万字总结护网知识(基础知识,top10漏洞,应急响应,设备知识,挖矿总结,内网知识)
第一次打AWD,打得汗流浃背,学习到了很多; 该篇文章是关于长城杯2024半决赛的writeup。
blackhat 2023中有一篇议题《Smashing the state machine: The true potential of web race conditions》中介绍了利用单数据包进行条件竞争这么一个新技术,并且提供了很多的Lab来练习。本文记录的是我阅读议题的paper进行学习和做Lab的过程,部分段落翻译自议题的paper。
hash加密是市面上流行的加密方法,那么此次就来分析下其中出现的安全漏洞吧!
introduction Open_basedir是PHP设置中为了防御PHP跨目录进行文件(目录)读写的方法,所有PHP中有关文件读、写的函数都会经过open_basedir的检查。Open_basedir实际上是一些目录的集合,在定义...
小trick一则
本文目录: 一、前言 二、前置知识 2.1 Servlet容器与Engine、Host、Context和Wrapper 2.2 编写一个简单的servlet 2.3 从代码层面看servlet初始化与装载流程 2.3.1 servlet初始化流程分析 2....
一些RCE的别的利用方式
不同于理论分析文章,这边分为三个部分,从理论到实战,主要是想让大家入门一下内存马的原理,以及学习利用CC链或者fastjson等打内存马的一些坑点还有如何注入内存马连接冰蝎,让师傅们能快速在实战中上手。
JS逆向,前端加密暴力破解(小白无痛学习)
本文作者:Track-Tobisec,主要介绍edusrc入门的漏洞挖掘手法以及利用github信息收集的过程
死亡杂糅代码,iconv转换
CORS漏洞学习
对phpems的反序列化漏洞导致rce的分析
在以往测试中总结的序列化、反序列化漏洞,欢迎各位师傅们补充!
NoSQL 数据库以传统 SQL 关系表以外的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此,它们通常比 SQL 具有更少的关系约束和一致性检查,并且在可扩展性、灵活性和性能方面具有显着的优势。但是本次不仅针对了mangodb的Nosql注入做了分析和靶场演示,并且加入了一个不常见的数据库influxfDb的注入方式,可在CTF中出类似的题目。总的来说,nosql注入是较为灵活的。
文章旨意在于总结各类反弹shell
本文记录了我第一次Oracle注入并绕过WAF的经历,希望大家多多支持。
现在距离这篇文章的写作时间已经过去整整半年,该写写他的提高篇了。基础篇发布后,很多师傅在朋友圈发表了留言,有不少师傅提出了宝贵而真挚的建议,也有师傅(@Y1ngSec、@lenihaoa)指出我文章的不足,我在此再次表示诚挚的感谢。