RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

对AgentTesla恶意软件多阶段加载器的一次手动分析

前言(概述) Agent Tesla 是一款自2014年就存在的密码窃取间谍软件,它通过记录按键和用户交互来收集有关受害者行为的信息。 Agent Tesla使用.Net软件框架(大多数窃密恶意软件都是基于.NET框...

  • 0
  • 0
  • Sciurdae
  • 发布于 2024-09-04 09:00:00
  • 阅读 ( 13843 )

Java安全 - FastJson系列详解

再学学Fastjson呗

  • 3
  • 1
  • Zacky
  • 发布于 2024-04-08 10:00:01
  • 阅读 ( 13832 )

Cacti SQL注入漏洞分析(CVE-2023-51448)

一次php环境下SQL注入漏洞分析

  • 0
  • 0
  • Yu9
  • 发布于 2024-04-03 09:00:01
  • 阅读 ( 13691 )

一文搞懂windows UAC机制逻辑及提权原理

核心内容:"一文讲清楚windows UAC核心机制逻辑,总结历史上常见UAC提权方式是如何利用这些逻辑的漏洞来实现提权的,并提出检测思路"

  • 1
  • 3
  • Ga0WeI
  • 发布于 2024-09-06 09:00:00
  • 阅读 ( 13593 )

CVE-2024-23328 DataEase jdbc反序列化漏洞分析

DataEase是一款开源的数据可视化分析工具。DataEase数据源中存在一个反序列化漏洞,可以被利用来执行任意代码。漏洞代码位于`core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java`文件中。可以绕过mysql jdbc攻击的黑名单,攻击者可以进一步利用该漏洞进行反序列化执行或读取任意文件。该漏洞已在1.18.15和2.3.0版本中修复。

  • 1
  • 0
  • Stree
  • 发布于 2024-04-02 10:00:00
  • 阅读 ( 13391 )

Java安全 - ROME链

再看看ROME呗

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-15 10:10:13
  • 阅读 ( 12868 )

Java安全 - CommonsCollections链 全系列详解

再回顾回顾CC系列吧

  • 1
  • 0
  • Zacky
  • 发布于 2024-04-08 09:50:05
  • 阅读 ( 12622 )

普元Primeton EOS Platform JMX 反序列化漏洞分析及复现

普元Primeton EOS Platform(以下简称普元EOS)在节前被爆出存在反序列化漏洞。遂在此分析该漏洞成因,如有疏漏或错误,欢迎大佬指正包涵。

  • 0
  • 1
  • 不羡仙
  • 发布于 2024-05-20 09:00:01
  • 阅读 ( 12404 )

U8cloud base64 SQL注入漏洞分析

U8cloud base64 SQL注入漏洞分析,真的是file/upload/base64导致的SQL注入吗?

  • 0
  • 1
  • So4ms
  • 发布于 2024-04-10 09:39:54
  • 阅读 ( 12379 )

一次有趣的锐捷前台无条件RCE漏洞分析

本篇文章对锐捷前台无条件RCE漏洞进行细致分析和代码审计,带你一步步进入最高权限的天堂,感受CNVD满分漏洞的无穷魅力

jsoniter参数走私浅析

json-iterator(通常简称为 Jsoniter)是一个高性能的 JSON 解析库,它为 Java 和 Go 语言提供了简单而高效的 API 来进行 JSON 的序列化和反序列化操作。浅析其中潜在的参数走私场景。

  • 0
  • 0
  • tkswifty
  • 发布于 2024-05-22 10:00:00
  • 阅读 ( 12207 )

JWT渗透姿势

JWT(JSON Web Token)是一种无状态认证机制,通过将用户身份和权限信息存储在令牌中,实现安全地在网络应用间传递信息。它具有跨域支持、扩展性和灵活性、安全性以及可扩展的验证方式等特点,成为现代应用开发中重要的认证和授权解决方案。

  • 18
  • 7
  • Yu9
  • 发布于 2024-02-23 09:32:30
  • 阅读 ( 12011 )

代码审计入门篇-CVE-2018-14399

小白的代码审计入门!如果有误 望大佬们帮忙指正:D

  • 0
  • 1
  • p1ng
  • 发布于 2024-04-12 10:00:01
  • 阅读 ( 11568 )

任意文件读取&下载漏洞的全面解析及利用

在实战中,我们不仅需要关注如何进行发现漏洞,也需要反思如何对发现的漏洞进行最大化利用!

  • 25
  • 16
  • 小铭
  • 发布于 2024-01-03 09:34:39
  • 阅读 ( 11562 )

CVE-2023-44974 emlog CMS任意文件上传漏洞分析

CVE-2023-44974 emlog CMS任意文件上传漏洞分析

  • 0
  • 2
  • Myan
  • 发布于 2024-04-15 09:39:26
  • 阅读 ( 11533 )

记一次离谱的内存马 GetShell

本文记录了一次在渗透测试中遇到了比较离谱的环境,而安全工具没有覆盖的情况下的处理思路和解决办法,经过一番挣扎和尝试后,最终绕过种种限制获取了 webshell。

  • 12
  • 24
  • su18
  • 发布于 2024-06-12 09:00:00
  • 阅读 ( 11227 )

验证码渗透最全总结

对于图形验证码以及短信验证码的总结

  • 47
  • 22
  • balala4533
  • 发布于 2023-12-05 10:00:02
  • 阅读 ( 11016 )

某学校授权渗透测试评估

从今年的五月份正式接触渗透实战到现在我依旧觉得攻防的本质仍是信息收集并且自身的知识面决定了攻击面。若该篇文章存在错误恳请各位师傅们斧正;若您对该渗透流程有更好的建议或者不同的思路想法也烦请您不吝赐教。

  • 19
  • 13
  • hey
  • 发布于 2024-01-08 10:00:02
  • 阅读 ( 10231 )

半自动化代码审计实战

无论我们在手工代码审计中具备多么扎实的技术背景、丰富的经验和敏锐的洞察力,仍然会存在着一些局限性;为了克服这些局限性,使用自动化代码审计工具可以快速识别所有可疑漏洞的位置,从而提高审计的效率和准确性!

  • 9
  • 14
  • Yu9
  • 发布于 2024-02-22 09:00:01
  • 阅读 ( 10109 )

etcd未授权到控制k8s集群

在安装完 K8s 后,默认会安装 etcd 组件,etcd 是一个高可用的 key-value 数据库,它为 k8s 集群提供底层数据存储,保存了整个集群的状态。大多数情形下,数据库中的内容没有加密,因此如果黑客拿下 etcd,就意味着能控制整个 K8s 集群。

  • 3
  • 0
  • ocean
  • 发布于 2024-09-20 10:12:09
  • 阅读 ( 9410 )