24推荐

9515浏览

记一次离谱的内存马 GetShell

本文记录了一次在渗透测试中遇到了比较离谱的环境，而安全工具没有覆盖的情况下的处理思路和解决办法，经过一番挣扎和尝试后，最终绕过种种限制获取了 webshell。

11
su18 发布于 2024-06-12 09:00

0推荐

1813浏览

威胁狩猎：DNS 隧道技术用于掩藏C2和VPN以及扩大用户跟踪和网络扫描的范围

威胁狩猎，本文介绍了域名系统 (DNS) 隧道在野外的新应用的案例研究

0
csallin 发布于 2024-06-06 10:15

10推荐

3743浏览

零基础从0到1掌握Java内存马

本文目录：一、前言二、前置知识 2.1 Servlet容器与Engine、Host、Context和Wrapper 2.2 编写一个简单的servlet 2.3 从代码层面看servlet初始化与装载流程 2.3.1 servlet初始化流程分析 2....

18
W01fh4cker 发布于 2024-06-06 10:14

2推荐

2428浏览

记一次执行顺序问题导致的SQL注入绕过

拦截器（Interceptor）和过滤器（Filter）在Java Web应用程序中都是用于处理HTTP请求和响应的组件，但它们属于不同的层次，并且具有不同的执行顺序和作用域。正确理解它们之间的区别和执行顺序对于确保应用程序的安全性至关重要。

2
tkswifty 发布于 2024-06-03 10:00

1推荐

24034浏览

2024高校网络安全管理运维赛 wp

0
mof 发布于 2024-05-30 10:00

5推荐

2960浏览

在渗透的"幽灵模式"中开启"透视"外挂

针对请求响应均加密的web网站的渗透测试解决方案

6
小惜渗透发布于 2024-05-27 09:56

0推荐

18664浏览

浅聊CVE-2024-22120：Zabbix低权限SQL注入至RCE+权限绕过

Zabbix低权限SQL注入至RCE+权限绕过，可惜没找到关于传webshell的好方法，如有大神告知，感激万分！

2
W01fh4cker 发布于 2024-05-22 14:07

5推荐

2937浏览

某低代码平台代码审计分析

某次项目中遇到的系统，发现还是开源的，于是就下下来小审一下，从权限绕过到getshell，还是比较有收获。

4
Qiu_ 发布于 2024-05-22 09:00

3推荐

2914浏览

【漏洞挖掘】记一次985证书站Oracle注入绕WAF

本文记录了我第一次Oracle注入并绕过WAF的经历，希望大家多多支持。

4
越南王子发布于 2024-05-21 09:00

6推荐

3415浏览

内存马即学即用

不同于理论分析文章，这边分为三个部分，从理论到实战，主要是想让大家入门一下内存马的原理，以及学习利用CC链或者fastjson等打内存马的一些坑点还有如何注入内存马连接冰蝎，让师傅们能快速在实战中上手。

5
Qiu_ 发布于 2024-05-17 10:00

0推荐

2171浏览

DSL-JSON参数走私浅析

DSL-JSON 是一个为 JVM（Java 虚拟机）平台设计的高性能 JSON 处理库，支持 Java、Android、Scala 和 Kotlin 语言。它被设计为比任何其他 Java JSON 库都快，与最快的二进制 JVM 编解码器性能相当。浅析其中潜在的参数走私场景。

0
tkswifty 发布于 2024-05-17 09:00

1推荐

3171浏览

记录某项目中一次较为顺利的溯源反制过程

从发现攻击IP到反制拿到system权限，再到分析傀儡机上的扫描工具（有球球号），最后还原攻击路径。主打一个分享思路和技巧。

2
11123 发布于 2024-05-16 09:00

1推荐

3483浏览

shiro+fastjson整合利用

本文章讲解shiro和fastjson漏洞复现合集以及绕waf不出网利用还带点sql绕安全狗

8
Locks_ 发布于 2024-05-15 10:00

10推荐

3547浏览

bc从注册到RCE

喜欢就好

3
阿斯特发布于 2024-05-14 14:09

1推荐

3826浏览

Jayway JsonPath参数走私导致的权限绕过

Jayway JsonPath是json-path开源的一个用于读取 Json 文档的 Java DSL。浅谈其中的JSON解析差异导致的权限绕过。

0
tkswifty 发布于 2024-05-10 09:00