RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

.NET WebShell 免杀系列之Unicode编码

0X01 背景 今天有个群友问.NET WebShell 绕过和免杀的方法,.NET下通常用其他的类和方法触发命令执行,本文不走曲线救国的路线,走硬刚Unicode编码绕过的方式Bypass主流的webshell查杀工具,那...

  • 1
  • 1
  • Ivan1ee
  • 发布于 2022-07-05 09:31:40
  • 阅读 ( 6587 )

【由浅入深_打牢基础】WEB缓存投毒(上)

【由浅入深_打牢基础】WEB缓存投毒(上)

Java 文件上传与JSP webshell

系统学习并总结了 Java 的文件上传与 JSP shell 的实现,JSP shell 的实现分为了直接的命令执行方法的调用和类加载两种方式,和反序列化的最后执行命令类似,但是方式实际上多种多样,主要参考了 三梦师傅 github 上的开源项目。

  • 4
  • 1
  • sp4c1ous
  • 发布于 2022-05-25 09:30:20
  • 阅读 ( 7653 )

XCTF *CTF2022 Web Writeup

XCTF *CTF2022 Web Writeup

  • 0
  • 1
  • atao
  • 发布于 2022-04-19 11:34:05
  • 阅读 ( 5281 )

DASCTF SU三月赛 WriteUp

DASCTF SU三月赛 WriteUp

  • 1
  • 1
  • 局内人
  • 发布于 2022-03-30 09:36:27
  • 阅读 ( 5230 )

JAVA 反序列化学习之反射

无论看的是什么文章,只要是学习 JAVA 反序列化的文章,就一定会提到反射机制,这里结合了文档、网上的各种资料、P 牛的 JAVA 安全漫谈,写成了一篇还算过得去的文章,主要内容包含了forName、newInstance、getMethod、invoke方法,以及利用这些方法用反射的方式写出一个执行任意类中的任意方法的代码的学习过程。 但这仅仅是 JAVA 安全的开始,甚至只是 JAVA 安全中一个漏洞的一部分的开始。 道阻且艰。

  • 1
  • 1
  • sp4c1ous
  • 发布于 2022-03-03 09:36:00
  • 阅读 ( 5683 )

前端攻防之解读浏览器同源策略

前端攻防之解读浏览器同源策略。

  • 5
  • 1
  • xq17
  • 发布于 2022-02-21 09:38:53
  • 阅读 ( 5686 )

【Rootkit 系列研究】Windows平台的高隐匿、高持久化威胁

本文首先从Rootkit的**生存期**、**可达成的效果**,以及**运用这项技术展开攻击的可行性**和**Windows Rootkit现状分析**四个角度展开讨论,并结合历史攻击事件,分析掌握这项技术的APT组织所**关注的目标群体**和**可能造成的影响**,最后总结**Rootkit在不同层次攻击活动中所处的地位**。

【Rootkit 系列研究】序章:悬顶的达摩克利斯之剑

《序章:悬顶的达摩克利斯之剑》将着重介绍 Rootkit 技术发展历程、Rootkit背后的影子以及 Rootkit 检测基本思想,开启 Rootkit 系列篇章。

一次对PHP正则绕过的思考历程

## 一次对PHP正则绕过的思考历程 ## 0x0 前言 ​ 在某个CMS看到的一个基于正则的过滤函数,当时第一眼就觉得这种过滤其实没很大用的,后面深入地思考了一下,发现多种绕过思路,感觉还是...

  • 2
  • 1
  • xq17
  • 发布于 2021-11-30 10:16:53
  • 阅读 ( 6331 )

某知名Java框架内存马挖掘

挖掘到了某知名Java Web框架的内存马,原理类似Tomcat的Filter内存马,通过这个经历也发现了一种进阶的内存马免杀思路

  • 3
  • 1
  • 4ra1n
  • 发布于 2021-11-25 09:41:32
  • 阅读 ( 6980 )

2021深育杯线上初赛官方WriteUp-Web篇

2021深育杯线上初赛官方WriteUp-Web篇

微服务下统一认证风险总结

随着微服务的发展,微服务越来越多,为每一个服务写一套认证服务会浪费很多人力,所以越来越多的公司开始使用统一认证了。统一认证给大家带来便利的同时,也带来了新的安全风险。仅以此文与大家...

  • 3
  • 1
  • Alivin
  • 发布于 2021-11-19 17:02:24
  • 阅读 ( 7157 )

如何打造好用的ModSecurity系列 Part 3

本文作为第三部分主要介绍具体规则的参数设置,然后把大部分重要的规则逐条进行解析,分析其防御原理及效果,最后介绍作者发现的一个绕过方式,并给安全人员提供绕过思路。

  • 0
  • 1
  • donky16
  • 发布于 2021-08-31 18:19:59
  • 阅读 ( 5712 )

安卓学习思路方法总结(三)

分享者才是学习中最大的受益者

  • 0
  • 1
  • 略略略
  • 发布于 2021-08-20 09:48:48
  • 阅读 ( 6641 )

JNDI注入的产生及利用

## jndi有什么用 jndi是用于目录服务的java api,它允许Java客户端通过名称发现和查找数据和资源。直白说就是将名字和对象绑定,通过名字检索对象,对象可以储存在RMI、LDAP、CORBA等等. JND...

  • 1
  • 1
  • A1kaid
  • 发布于 2021-08-24 10:49:11
  • 阅读 ( 5973 )

CTF-MISC隐写总结

#前言 本文仅就个人练习过的misc题目所涉及的知识点进行一定总结,如有错误或不足之处还请各位在评论处帮忙指出。 ## 图片隐写 ### 1.Exif信息隐藏 > **可交换图像文件格式**(英...

  • 0
  • 1
  • Restart
  • 发布于 2021-08-02 11:59:52
  • 阅读 ( 7085 )

IIS渗透合集

IIS渗透合集

  • 1
  • 1
  • 略略略
  • 发布于 2021-07-29 15:00:21
  • 阅读 ( 6487 )

Apache渗透测试合集

Apache总结

  • 1
  • 1
  • 略略略
  • 发布于 2021-07-29 15:00:04
  • 阅读 ( 5349 )

手把手教你Linux提权

手把手教你Linux提权

  • 7
  • 1
  • 略略略
  • 发布于 2021-08-10 16:52:54
  • 阅读 ( 6347 )