RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

这个鉴权到底能不能绕

我在绕过这样鉴权时,有时候成功有时候却是 404, 这让我很疑惑。

  • 3
  • 3
  • JOHNSON
  • 发布于 2021-11-02 10:25:10
  • 阅读 ( 9996 )

Linux应急响应篇

本章继续对linux操作系统中应急响应的基础技术分析能力做一下介绍.

  • 10
  • 3
  • 阿蓝
  • 发布于 2021-10-29 14:54:19
  • 阅读 ( 9237 )

Web 应用指纹分析思路

Web 指纹识别虽然已经是老生常谈的话题,但其在漏洞挖掘 / 漏洞治理的过程中仍然有着举足轻重的作用。本文中将着重分析下指纹识别体系建设的一些维度和实现思路。

  • 2
  • 3
  • jweny
  • 发布于 2021-10-11 13:58:47
  • 阅读 ( 8047 )

分析流量入门篇

#写在前面 最近参加了首届陇剑杯,和往常的CTF不太一样,题目基本都是流量分析类型的,我也是第一次接触这方面,还挺有意思的。写的不好的地方请各位师傅多多指正~这里要感谢共同参与比赛的几...

  • 4
  • 3
  • Johnson666
  • 发布于 2021-10-05 18:48:08
  • 阅读 ( 9018 )

HAProxy请求走私漏洞(CVE-2021-40346)分析

本文主要分析如何通过一个整数溢出来进行http请求走私,并构建环境复现,介绍此漏洞的利用方式与危害。

  • 2
  • 3
  • donky16
  • 发布于 2021-09-22 11:10:02
  • 阅读 ( 11470 )

BurpSuite Trick ALL In ONE (第一版)

BurpSuite 是一款Web安全研究人员、渗透测试人员和BugHunter的工具,在实际使用的时候一些小Trick将会帮助你更高效的使用这款工具,本文是在看到 Twitter上@sec_r0 开启的一个话题 #BurpHacksForBounties 之后基于他提到的一些trick进行扩展之后撰写的,在撰写的途中融合进了个人在使用BurpSuite时的一些trick和想法,也参考了众多文章,本篇为第一版,随后再有更多Trick的话会继续更新下一版。

  • 8
  • 3
  • z3
  • 发布于 2021-10-11 16:50:03
  • 阅读 ( 14860 )

Moodle 拼写检查插件 rce 分析

Moodle 3.10 中默认的旧版拼写检查器插件中存在命令执行漏洞。一系列特制的 HTTP 请求可以导致命令执行。攻击者必须具有管理员权限才能利用此漏洞。

  • 2
  • 3
  • langke
  • 发布于 2021-09-16 11:47:19
  • 阅读 ( 6320 )

从RFC看如何使用Base64编码绕过WAF

本文将查看RFC4648对于base64编码的规范,并选取多种base64解码器分析其在实现上的不规范性,并如何通过这种不规范来绕过WAF。

  • 3
  • 3
  • donky16
  • 发布于 2021-09-09 16:27:59
  • 阅读 ( 8521 )

渗透测试之批量刷洞技巧

恰逢七夕活动,可以玩批量刷洞,这里分享下我的技巧给大家,希望下次再出这类活动可以给大家一点帮助哈哈

  • 9
  • 3
  • soufaker
  • 发布于 2021-08-31 18:40:37
  • 阅读 ( 9660 )

java中js命令执行的攻与防

研究java中利用js的命令执行

  • 0
  • 3
  • Tri0mphe
  • 发布于 2021-08-25 16:15:02
  • 阅读 ( 8519 )

记一次HW供应链攻击到SQL注入新用法

# 0.前言 在参加某市攻防演练的时候,发现目标站,经过一系列尝试,包括弱口令、SQL注入等等尝试后,未获得到有效的入口点。在准备放弃之时,看到页脚的banner:xxxxx信息科技有限公司 [!...

  • 1
  • 3
  • Alivin
  • 发布于 2021-08-24 14:42:55
  • 阅读 ( 7014 )

从PDO下的注入思路到Git 2000 Star项目0day

从PDO下的注入思路到Git 2000 Star项目0day

  • 3
  • 3
  • J0o1ey
  • 发布于 2021-08-27 10:58:21
  • 阅读 ( 6604 )

优雅地寻找网站源码(一)

# 优雅地寻找网站源码(一) ## 0x0 前言 ​ 渗透过程中如果能获取到网站的源代码,那么无疑开启了上帝视角。虽然之前出现过不少通过搜索引擎查找同类网站,然后批量扫备份的思路,但是却没...

  • 8
  • 3
  • xq17
  • 发布于 2021-08-09 13:31:31
  • 阅读 ( 8088 )

代码审计-从0到1通读源码

## 0x00前言: 本文使用wodecms 代码下载链接:http://zjdx.down.chinaz.com/201709/wodecms_v1.1.zip 我们在审计之前,要摸清楚整套源码的结构,例如mvc的走势,函数等,而且还要对漏洞熟悉,...

  • 4
  • 3
  • 修仙者
  • 发布于 2021-07-24 14:25:22
  • 阅读 ( 9269 )

web安全---第三方软件提权

**前言** 在入侵过程中,通过各种办法和漏洞,提高攻击者在服务器中的权限,从而以便控制全局的过程就叫做提权。例如:windows系统--->user(guest)--->system;Linux系统--->user---&g...

  • 3
  • 3
  • 和风
  • 发布于 2021-07-09 15:56:51
  • 阅读 ( 6612 )

另类方式拿下考场管理系统shell

日常测试

  • 3
  • 3
  • xingshen
  • 发布于 2021-07-06 22:10:28
  • 阅读 ( 6597 )

你的跑步打卡真的是真实的吗?

本文提供一种SDR应用玩法,供各位参考。

  • 3
  • 3
  • Mori
  • 发布于 2021-07-03 13:33:02
  • 阅读 ( 13940 )

TamronOS_IPTV系统任意命令执行漏洞

**TamronOS_IPTV系统任意命令执行漏洞** 开源镜像,可以在官网下载,下载之后解压到这个地方 [![](https://shs3.b.qianxin.com/attack_forum/2021/06/attach-3f663e9fe33c48b8cc01a31adb34077...

  • 0
  • 3
  • J0J0Xsec
  • 发布于 2021-06-29 18:57:19
  • 阅读 ( 6549 )

记一次黑盒摸鱼意外挖到的0day

## 一、前言 本文所涉及的漏洞已提交至CNVD并归档,涉及站点的漏洞已经修复,敏感信息已全部打码。 ## 二、漏洞挖掘过程 随手摸鱼,开局fofa搜一波系统管理然后海选,相中了这个xx系统管理中...

  • 1
  • 3
  • 长相安
  • 发布于 2021-06-24 17:04:12
  • 阅读 ( 7493 )

微擎最新版前台某处无回显SSRF漏洞

## 微擎最新版前台某处无回显SSRF漏洞 ## 0x0 前言   [代码审计之某通用商城系统getshell过程](https://mp.weixin.qq.com/s/rSP8LQJpIkP-Ahljkof5sA),续之前这篇文章v1...

  • 2
  • 3
  • xq17
  • 发布于 2021-08-04 10:30:32
  • 阅读 ( 11079 )