记一次抽丝剥茧式的渗透测试

网站的JS文件中通常会泄漏一些接口、URL、子域等信息,更有甚者会泄漏一些敏感信息,如OSS的AKSK等,我们利用泄漏的接口配合未授权访问,可以获取到更多的敏感信息,为后续渗透工作带来便利。本文以一次项目实战为基础展开。

smartbi 登录绕过漏洞分析

本次漏洞是7月底修复的漏洞

通达OA反序列化分析

  • 0
  • 2
  • Macchiato
  • 发布于 2023-09-06 09:00:00
  • 阅读 ( 15526 )

记一次HW样本分析

HW中遇到的样本

  • 4
  • 15
  • 鹿柴
  • 发布于 2023-09-05 09:00:00
  • 阅读 ( 11868 )

Mybatis-Flex浅析

MyBatis-Flex是一个MyBatis增强框架,它非常轻量、同时拥有极高的性能与灵活性。可以轻松的使用Mybaits-Flex连接任何数据库。浅析其中安全相关的问题。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-09-04 09:00:02
  • 阅读 ( 5733 )

白帽眼中的美国“两会(Blackhat+Defcon)”

参加黑客两会(Blackhat+Defcon),变化颇多,谈其所观。

【溯源反制】自搭建蜜罐到反制攻击队

本篇文章结合之前的案例总结了一些作为蓝队的经验,希望能对蓝队溯源得分有所帮助,如果还有其他奇招妙法欢迎师傅们多多交流

  • 16
  • 14
  • hyyrent
  • 发布于 2023-09-01 09:00:02
  • 阅读 ( 9172 )

【HVV回顾】小程序打点案例分享

刚结束某地HVV,小程序作为低成本易用的信息化系统,成为HVV新型重点突破对象。以下案例均来自于小程序,供大家学习。

  • 10
  • 9
  • 浪飒sec
  • 发布于 2023-08-31 09:00:00
  • 阅读 ( 8538 )

某移动平台代码审计

该套系统是一次地市级hvv中,扫目录扫到备份文件拿到的,因为也是第一次审计.net,前期也没学过,可能也有很多解释的不对的地方望师傅们指出

抓包对抗与实战分析

本文对安卓逆向中遇见的抓包问题,以绕过各种抓包检验为主进行展开说明。

  • 0
  • 1
  • bmstd
  • 发布于 2023-08-29 15:48:36
  • 阅读 ( 12746 )

某次奇怪的sql注入记录

某次奇怪的sql注入记录

域内提权票据篇之剖析CVE-2021-42278&42287漏洞

21年披露了AD域的一个组合漏洞(CVE-2021-42278+CVE-2021-44287),利用AD域对机器账户的认证缺陷和kerberos协议缺陷,只需一个域用户即可拿到域内最高权限,影响巨大

基于yii框架的系统审计

某次审计基于YII框架二开的系统

云上的ssrf利用

由于云厂商提供云服务均使用同一套网络边界和鉴权系统,且各云组件默认相互信任。此时一旦存在SSRF漏洞,此类边界将不复存在,攻击者可直接调用云厂商支持环境中的相应接口,因此SSRF漏洞在云环境中更具有危害性。以下文章围绕ssrf的云上利用展开。

Symfony反序列化链分析

前段时间看到phpggc更新了Symfony的RCE反序列化,但是只有poc没有详细的解释,所以这边文章来具体分析一下Symfony组件中的一条反序列化链

记一次从xss到任意文件读取

xss一直是一种非常常见且具有威胁性的攻击方式。然而,除了可能导致用户受到恶意脚本的攻击外,xss在特定条件下还会造成ssrf和文件读取,本文主要讲述在一次漏洞挖掘过程中从xss到文件读取的过程,以及其造成的成因。

某CMS sql注入梅开二度

前几天在逛github时发现有个开源cms出了个sql注入的漏洞,虽然时几个月前被提出来的,最新版也已经被修复,但是网上没有详细的分析过程,所以这里对这个漏洞进行分析并给出其他几种payload

某游戏盒App的So层逆向

某游戏盒 App 的请求头值,都放在 So 层进行了加密,本文通过分析 So 完成协议逆向。

  • 1
  • 1
  • bmstd
  • 发布于 2023-08-14 09:00:01
  • 阅读 ( 7631 )

浅谈Spring Security授权规则配置错误漏洞(CVE-2023-34035)

Spring官方发布了CVE-2023-34035,当应用程序使用了 requestMatchers(String) 和多个 Servlet(其中一个是 Spring MVC 的 DispatcherServlet)的情况下,Spring Security漏洞版本存在可能受到授权规则配置错误的影响。

  • 0
  • 1
  • tkswifty
  • 发布于 2023-08-11 09:00:01
  • 阅读 ( 8027 )

过某TV App Root监测及协议分析

实战某 TV App,实现过 Root 检测,并逆向了其登录协议。

  • 0
  • 0
  • bmstd
  • 发布于 2023-08-10 09:00:02
  • 阅读 ( 6012 )