狂雨cms代码审计

狂雨小说内容管理系统(简称KYXSCMS)提供一个轻量级小说网站解决方案,基于ThinkPHP5.1+MySQL的技术开发。 KYXSCMS,灵活,方便,人性化设计简单易用是最大的特色,是快速架设小说类网站首选,...

  • 4
  • 1
  • Panacea
  • 发布于 2022-02-21 09:38:18
  • 阅读 ( 6853 )

CC链之新利用链分析

分析使用DualHashBidiMap、DualTreeBidiMap、DualLinkedHashBidiMap类作为触发点来构造新的Commons Collections利用链

  • 7
  • 1
  • 好家伙
  • 发布于 2022-02-18 09:39:19
  • 阅读 ( 6668 )

深入分析PE结构(三)

分享者才是学习中最大的受益者!

  • 1
  • 1
  • 略略略
  • 发布于 2022-02-18 09:37:41
  • 阅读 ( 5450 )

记又一次Java代码审计

这是我的Java代码审计实战的第二篇文章,下面带来一个新的CMS的审计思路和技巧

  • 7
  • 3
  • 好家伙
  • 发布于 2022-02-17 09:35:54
  • 阅读 ( 9044 )

深入分析PE结构(二)

分享者才是学习中最大的受益者!

  • 1
  • 1
  • 略略略
  • 发布于 2022-02-17 09:35:39
  • 阅读 ( 5409 )

CTF-pwn 技术总结(4)

从前面几期我们能够学习到一些CTF-pwn中关于栈溢出、格式化字符串漏洞题型的攻击技巧以及linux安全保护机制的原理以及绕过方法等等,这期我们正式进入堆入门的学习。

  • 0
  • 1
  • awqhc
  • 发布于 2022-02-16 09:42:22
  • 阅读 ( 5744 )

深入分析PE结构(一)

分享者才是学习中最大的受益者!

  • 3
  • 2
  • 略略略
  • 发布于 2022-02-16 09:42:07
  • 阅读 ( 6432 )

GO中SSTI研究

在ByteCTF2021与SCTF2021中,我们都可以看到GO语言下的SSTI的身影,借此机会深入学习一下GO语言下的SSTI,在ByteCTF的WP文档中有相应的链接来介绍GO语言下的SSTI利用方法的研究。

  • 0
  • 0
  • sp4c1ous
  • 发布于 2022-02-15 15:54:35
  • 阅读 ( 7647 )

一次BC站点的GetShell过程

一次BC站点的GetShell过程

  • 10
  • 4
  • xq17
  • 发布于 2022-02-15 09:44:55
  • 阅读 ( 9141 )

记一次分离免杀上线msf

分开shellcode和加载器绕过杀软上线msf。

  • 6
  • 3
  • ring3
  • 发布于 2022-02-15 09:41:42
  • 阅读 ( 6794 )

CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析

只有对工具足够的了解,才能够更好的进行修改

zbzcms审计供新手学习

### 前言 也是源自于闲来无事 在之前逛cnvd的时候 发现的cms 然后下下来了一直没审 现在也是审了一下 cms也比较老了 有段时间没更新了 也没用很难 供新手学习(篇幅有点长) 下载地址...

  • 5
  • 2
  • 永安寺
  • 发布于 2022-02-14 09:52:48
  • 阅读 ( 6985 )

记一次渗透实战-代码审计到getshell

一次渗透测试遇见的系统,遂进行代码审计

  • 16
  • 14
  • dota_st
  • 发布于 2022-02-14 09:28:23
  • 阅读 ( 8960 )

利用卷积神经网络与向量搜索引擎在web资产中推荐相似icon

目前市面上常见的资产搜索方式主要有语法检索、icon检索、批量检索。icon检索是一种基于图像特征提取和匹配的检索方式,通用实现方式是通过md5计算icon_hash,精确查询指定icon命中的资产。但想要根据指定icon,找到“图形相同大小不同”或“图形相似”的icon所命中的资产时,上述方法难免显得捉襟见肘。为了解决该问题,HUNTER平台在今年1月份推出了相似ICON功能。

训练验证码识别模型对抗登录验证码

在实际渗透场景中,不少业务站点的登录处都存在验证码,如果不是前端验证的验证码类型情况,就无法使用 burpsuite 爆破测试弱密码。而不少用于验证码识别的 api 接口都是收费的。没办法,人穷,只能自学,我选择通过机器学习来训练验证码识别模型,对抗渗透站点中的验证码。

  • 2
  • 1
  • dota_st
  • 发布于 2022-02-11 09:40:23
  • 阅读 ( 6541 )

那CTF,那VMre,那些事(一)

vm虚拟机保护逆向,是一种利用了虚拟机技术的一种特殊加花指令方式。目前比赛中,虚拟机题目特点是核心算法不是很复杂,虚拟机本身没有反调试和代码加密混淆的加入。大部分题目的思路都是考察分析switch语句及其分支。

  • 1
  • 2
  • 绿冰壶
  • 发布于 2022-02-11 09:40:10
  • 阅读 ( 6463 )

JNDI入门

关于JNDI的一些学习

  • 2
  • 0
  • h0ld1rs
  • 发布于 2022-02-10 11:32:23
  • 阅读 ( 6143 )

weblogic反序列化漏洞合集

weblogic部分漏洞分析(包括T3和XMLDecoder)

CTF-pwn 技术总结(3)

学习linux pwn,linux安全机制的知识是绕不开的。如果能理解这些安全机制的原理以及不懂得如何绕过它们,那么在比赛时将你举步维艰,本节我就总结了所有linux安全机制的基本原理以及具体的绕过方法,希望能帮助一些小萌新更快入门,帮助需要进阶的朋友打好根基。

  • 0
  • 2
  • awqhc
  • 发布于 2022-02-10 09:34:31
  • 阅读 ( 8008 )

Metersphere项目安全漏洞概览

最近爆出了一个metersphere的高危漏洞,一方面是对该漏洞的应急响应,另一方面对这个项目的历史漏洞也进行了一些了解和学习,因此写下此文对该项目安全相关的框架,以及几个比较严重的漏洞的原理、利用及修复方法进行分析。

  • 0
  • 0
  • 无糖
  • 发布于 2022-02-09 11:16:44
  • 阅读 ( 7646 )