1推荐

4884浏览

记录某项目中一次较为顺利的溯源反制过程

从发现攻击IP到反制拿到system权限，再到分析傀儡机上的扫描工具（有球球号），最后还原攻击路径。主打一个分享思路和技巧。

• 3
• 11123 发布于 2024-05-16 09:00

2推荐

5956浏览

shiro+fastjson整合利用

本文章讲解shiro和fastjson漏洞复现合集以及绕waf不出网利用 还带点sql绕安全狗

• 11
• Locks_ 发布于 2024-05-15 10:00

12推荐

5335浏览

bc从注册到RCE

喜欢就好

• 4
• 阿斯特 发布于 2024-05-14 14:09

1推荐

5537浏览

Jayway JsonPath参数走私导致的权限绕过

Jayway JsonPath是json-path开源的一个用于读取 Json 文档的 Java DSL。浅谈其中的JSON解析差异导致的权限绕过。

• 0
• tkswifty 发布于 2024-05-10 09:00

8推荐

9006浏览

记一次“安全扫描工具联动”自动化扫描漏洞流程

假如你在一次攻防演练或者渗透测试中有多个攻击测试目标，一个一个去手动测试是肯定不现实的，可以先借助安全扫描工具去“自动扫描测试目标站点”的薄弱漏洞的位置，为你后续的深入测试提供事半功倍的效果。

• 12
• hqymaster 发布于 2024-05-09 09:38

11推荐

6893浏览

死磕某小程序

死磕某小程序

• 7
• xhys 发布于 2024-05-08 14:13

4推荐

6745浏览

记一次微信小程序逆向

想到学校的小程序，然后看一看，第一次测小程序，师傅们勿喷

• 11
• Toy_Maker 发布于 2024-05-08 14:12

1推荐

19237浏览

kkFileView任意文件上传

kkFileView任意文件上传

• 0
• 买橘子 发布于 2024-05-07 09:00

0推荐

6792浏览

记一次有源码的渗透测试

记一次有源码的渗透测试

• 2
• Whoisa 发布于 2024-04-28 10:00

0推荐

15744浏览

浅谈gaul/s3proxy authorization绕过

https://github.com/gaul/s3proxy是一个开源项目，它实现了S3 API，允许你通过这个API访问多种不同的存储，目前已经支持Azure Blob，Google Cloud Storage和OpenStack Swift等主流的云存储服务。浅谈其authorization绕过过程。

• 0
• tkswifty 发布于 2024-04-26 09:00

0推荐

4594浏览

某cms代码审计

某cms代码审计

• 0
• Whoisa 发布于 2024-04-25 09:00

85推荐

32427浏览

万字总结信息收集(全网最全)

万字总结信息收集(全网最全)

• 154
• xhys 发布于 2024-04-24 14:42

1推荐

4698浏览

记一次0.5day分析

转载

• 0
• Zacky 发布于 2024-04-24 10:00

0推荐

3737浏览

记一次项目中遇到的YII框架审计

转载

• 0
• Zacky 发布于 2024-04-23 10:00

2推荐

16762浏览

记一次参数走私导致的权限绕过

在实际业务中，通常会对请求参数进行解析并进行鉴权处理，来避免类似平行越权的风险。若解析请求参数时与Controller的解析方式存在差异，则可能可以绕过现有的安全措施，

• 1
• tkswifty 发布于 2024-04-23 09:00