RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

安卓学习思路方法总结(五)

分享者才是学习中最大的受益者

安卓学习思路方法总结(三)

分享者才是学习中最大的受益者

  • 1
  • 1
  • 略略略
  • 发布于 2021-08-20 09:48:48
  • 阅读 ( 7742 )

代码层面规避web通用漏洞

浅析QWASP常见web漏洞的成因、危险代码及规避方案

  • 2
  • 1
  • jweny
  • 发布于 2021-09-23 14:54:07
  • 阅读 ( 8694 )

验证码的烦恼已解决

没有什么可以指导带师傅们阅读的,嘿嘿嘿

  • 3
  • 1
  • JK1706
  • 发布于 2021-08-27 10:33:34
  • 阅读 ( 6743 )

某CMS代码审计从前台注入到后台RCE

某CMS代码审计从前台SQL注入到后台RCE

  • 1
  • 1
  • Alivin
  • 发布于 2021-08-25 15:54:00
  • 阅读 ( 6537 )

代码审计-无回显SSRF的奇妙审计之旅

审计了一个php的无回显ssrf和getshell

  • 2
  • 1
  • XG小刚
  • 发布于 2021-08-30 10:08:24
  • 阅读 ( 6912 )

【零基础也能用】WX PC版聊天记录取证工具

# 0x01 前言 微信平台是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利,但同时也给不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。由于微信本身是一个信息传递平...

JNDI注入的产生及利用

## jndi有什么用 jndi是用于目录服务的java api,它允许Java客户端通过名称发现和查找数据和资源。直白说就是将名字和对象绑定,通过名字检索对象,对象可以储存在RMI、LDAP、CORBA等等. JND...

  • 1
  • 1
  • A1kaid
  • 发布于 2021-08-24 10:49:11
  • 阅读 ( 6998 )

针对常规无字母RCE的通用辅助脚本开发

针对CTF中常见的无字母RCE题目开发一个辅助脚本。

  • 2
  • 1
  • SNCKER
  • 发布于 2021-08-20 15:52:02
  • 阅读 ( 7203 )

某小型cms代码审计

审计两个版本 v2021.0521152900 和v2021.0528154955,7月2号爆出的v2021.0521152900存在任意文件删除和任意文件上传,审计出来以后又审计了一下下一版本,图片都是当时审计时做的笔记...

  • 0
  • 1
  • A1kaid
  • 发布于 2021-08-23 17:21:28
  • 阅读 ( 6150 )

某商城代码审计

## 工具: #### Phpstrom、Seay源代码审计系统 ## 步骤: ### 自动审计: ##### 找到关键点,这是在后台部分的备份功能。 [![](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-...

  • 1
  • 1
  • N1eC
  • 发布于 2021-08-17 18:00:29
  • 阅读 ( 6738 )

冰蝎内存webshell注入和防检测分析

从最开始的Godzilla客户端的注入内存webshell功能,到现在冰蝎hook注入,内存webshell攻防对抗已经开始激烈起来,最初Godzilla使用的是添加servlet,rebeyond使用的是添加filter,然后出现了一些使用注入jar包检测新加载class进而检测内存马的项目,到冰蝎不加载新class,而是使用注入jar包hook方法实现内存webshell,且开始尝试防止其他jar注入,加载的class的包名混淆绕过检测等等。本篇来研究冰蝎内存马机制和防注入原理。

  • 0
  • 1
  • ChanGeZ
  • 发布于 2021-08-17 17:16:15
  • 阅读 ( 9955 )

从某开源靶场详细学习SQL注入的过程

开普勒安全PHP训练靶场的学习记录...

  • 2
  • 1
  • SNCKER
  • 发布于 2021-08-18 17:14:55
  • 阅读 ( 6687 )

内网渗透-常用工具免杀

# 内网渗透-常用工具免杀 ## Mimikatz免杀 Mimikatz其实并不只有抓取口令这个功能,它还能够创建票证、票证传递、hash传递、甚至伪造域管理凭证令牌等诸多功能。由于mimikatz的使用说明网上资...

  • 5
  • 1
  • hrk
  • 发布于 2021-08-16 16:24:23
  • 阅读 ( 8433 )

linux日志总结

## 一、Linux日志简介 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 Linux 日志都以明文形式存储,所以用户不需要特殊的工具...

  • 3
  • 1
  • ordar123
  • 发布于 2021-08-12 10:04:19
  • 阅读 ( 7016 )

MongoDB数据库渗透测试及漏洞复现

本篇文章介绍了MongoDB数据库的简单概念、基本命令使用、MongoDB注入漏洞、未授权访问漏洞、实战渗透测试及相关防御措施。

  • 3
  • 1
  • xigua
  • 发布于 2021-08-13 15:49:37
  • 阅读 ( 8217 )

CS免杀-RegQueryValueExA加载器

这几天研究api操作注册表想绕过360等,突然想起注册表是可以存储二进制内容的,然后就发现了RegQueryValueExA函数是可以读取 注册表中内容的,所以我们只要将读取的内容存到申请的内存中去执行即可。

  • 0
  • 1
  • XG小刚
  • 发布于 2021-08-12 10:00:49
  • 阅读 ( 7480 )

CS免杀-AllocADsMem内存申请

在前几天找mac,ipv4那些内存加载函数时,一同发现了两个有意思的AllocADsMem和ReallocADsMem函数,竟然能申请内存?哎嗨?好玩。今就研究研究能利用一下不。

  • 1
  • 1
  • XG小刚
  • 发布于 2021-08-12 10:00:39
  • 阅读 ( 8035 )

CS免杀-MAC加载器

找着了俩函数RtlEthernetStringToAddressA和RtlEthernetAddressToStringA 发现是操作MAC地址的,可以将mac字符串转换成二进制写入内存,所以就有了本文

  • 1
  • 1
  • XG小刚
  • 发布于 2021-08-10 10:52:10
  • 阅读 ( 7536 )

CS免杀-UUID加载器

前几天看到一个加载器很有意思,通过uuid方式将shellcode写入内存中 在此复现一下,虽然不免杀,但可以扩宽我们将shellcode写入内存的知识面。

  • 1
  • 1
  • XG小刚
  • 发布于 2021-08-09 10:22:02
  • 阅读 ( 8192 )