全部 - 推荐的文章 - 第16页 - 奇安信攻防社区

Java代码审计-mcms

本文主要记录了对mcms各个历史漏洞的复现与分析，含中间件漏洞和web漏洞。

3
4
Arthur
发布于 2023-05-17 09:00:00
阅读 ( 8757 )

Dreamer CMS 代码审计

关于dreamer cms的代码审计，该cms使用springboot+mybaits完成。审计发现后台存在不少问题，严重到可以获取服务器权限。

6
4
en0th
发布于 2023-03-24 09:00:00
阅读 ( 18608 )

【实战】记一次实战“恶意外连”事件的应急响应

记一次实战“恶意外连”事件的应急响应

3
4
F1ne
发布于 2023-02-17 09:00:02
阅读 ( 10611 )

一次失败的SQL注入经历

某天，聚合扫描器推送了一份SQL注入的漏洞报告，经过测试，漏洞点存在某Cloud WAF，没办法直接利用，故需要绕过证明危害，于是笔者花了一点时间对WAF进行了完整的Bypass(最终还是玩了个寂寞)。整个过程，思路虽然比较基础，但总体还是有趣的，在此，分享出来笔者的过程，并呈现自己的思考

6
4
xq17
发布于 2023-02-13 09:00:02
阅读 ( 9954 )

一次对在线文档预览的JAVA代码审计

一次JAVA代码，文中内容有：XSS 挖掘修复与绕过，文件读取与文件写入漏洞分析与挖掘。

3
4
JOHNSON
发布于 2023-01-13 09:00:01
阅读 ( 10617 )

第一次java代码审计供新手学习

学习java审计的尝试

8
4
永安寺
发布于 2022-12-29 09:00:01
阅读 ( 12451 )

001-实战钓鱼篇-细节决定成败，通过在线客服通关内网

以下文章来源于攻防日记，作者黑仔007 原文链接：https://mp.weixin.qq.com/s/cixtFPn__YPe1XtpcTE2Ow

11
4
nig1688
发布于 2022-11-23 09:45:00
阅读 ( 9496 )

反制Cobaltstrike的那些手段

此文简单总结了下对抗Cobaltstrike的手段，并对各种对抗方式的原理以及实现进行了一定的研究和落地。

4
4
Ga0WeI
发布于 2022-10-27 12:41:54
阅读 ( 15725 )

CTF流量分析

对CTF比赛中常见的几种协议流量进行法分析。因为流量分析作用通常是溯源攻击流量的。

15
4
Obsession
发布于 2022-10-20 09:30:02
阅读 ( 16053 )

mimikatz和shellcode免杀

文章有什么错误的地方，希望师傅们能够提出来！

7
4
旺崽
发布于 2022-09-21 09:14:23
阅读 ( 11828 )

Dlink设备中的HNAP分析

Dlink设备中HNAP数据处理漏洞分析

0
4
就叫16385吧
发布于 2022-08-16 09:28:10
阅读 ( 8280 )

python的另类免杀

人生苦短我用python

12
4
suansuan
发布于 2022-08-05 09:55:36
阅读 ( 10891 )

老树开新花，某OA getSqlData接口SQLi再利用

老树开新花，某OA getSqlData接口SQLi利用方式再升级，可直接执行命令。

4
4
Alivin
发布于 2022-09-06 09:58:55
阅读 ( 9676 )

记一次曲折的渗透测试

记一次曲折的渗透测试 > 本次渗透测试为授权测试，信息皆做脱敏处理启拿到网站，其中一个资产为该单位办公系统，看到界面比较老，感觉有戏，所用系统为九思oa，先去搜一下已公开的poc看看...

4
4
Air
发布于 2022-07-19 09:42:26
阅读 ( 11677 )

在审计Java项目时，最理想的情况是我们拿到源码，并且可以直接运行调试；但也有很多时候，我们只能拿到一个Jar包、class文件等。这时候没法直接调试，需要我们用remote attach方式调试；也有一种情况是有源码也有jar包，但直接用源码编译时会报依赖错误很麻烦。为了能直接调试现成的jar包，也可以使用remote attach加依赖库的方式；还有一种情况是为了调试Java的native方法，查看native方法的C/C++实现。下文会一一描述。