0推荐

5567浏览

强网拟态预选赛2022WriteUp

强网拟态预选赛2022WriteUp

• 0
• Sakura501 发布于 2022-11-08 09:30

0推荐

9003浏览

NewStarCTF-Week3&4的WEB题目详解

就最近的NewStarCTF中的第三周和第四周的WEB题目进行详细分析，进行不同知识点的学习。

• 0
• Sakura501 发布于 2022-10-21 09:30

0推荐

8528浏览

细数Django框架核心历史SQL注入漏洞（下）

最近总结了一下 Django 框架曾经出现的 SQL 注入漏洞，总共有七个 CVE ，分别都简单分析复现并写了文章，总体来说会觉得比较有意思，在这里分享一下。本篇文章是下篇。

• 0
• shenwu 发布于 2022-10-21 09:30

0推荐

5645浏览

laravel5.1反序列化

本文分析laravel5.1的反序列化链子

• 0
• binbin 发布于 2022-10-17 10:05

0推荐

6483浏览

对jsoncpp库进行亿次AFL模糊测试

利用AFL对jsoncpp库进行编译测试，并尝试采用自构造字典、多核并行测试，持久模式等多种特色，利用了四个核进行并行测试，共计完成测试1亿余次。运行总时间约24小时，每个进程fuzzer的轮数约为平均90轮。Totalpath约为3000左右。map density约为2% / 4%。count coverage约为5bits/tuple。 Cpu的利用率约为150%，平均每个进程发现20个unique crash。

• 0
• 用户180910387 发布于 2022-10-14 09:39

2推荐

10804浏览

红队域渗透NTLM Relay：强制认证方式总结

本文介绍了 NTLM Relay 相关概念及攻击流程。按照笔者理解，NTLM Relay 分为三个部分：监听器设置、触发NTLM认证和中继后攻击，其中关于触发 NTLM 认证的方式可以分为诱导的方式（系统命令、PDF文件等）、欺骗的方式（LLMNR/NBNS）和强制等方式，而本文第二部分着重探讨强制触发认证的方式，包括五种：PrinterBug、PeitiPotam、DFSCoerce、ShadowCoerce、PrivExchange，最后介绍一款集成工具Coercer

• 3
• xigua 发布于 2022-10-13 09:18

5推荐

9980浏览

Springboot攻击面初探（一）

学习Springboot！

• 23
• qiana 发布于 2022-10-10 09:16

1推荐

6196浏览

pickle反序列化深入python源码分析

本文深入python底层，分析pickle反序列化时操作，对自主构造payload有所帮助，还以2022年美团杯ezpickle等题目作为例子，进行深入分析，非常适合初学者了解pickle反序列化

• 1
• binbin 发布于 2022-10-10 09:12

0推荐

6744浏览

2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛-Writeup

2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛-Writeup

• 0
• Sakura501 发布于 2022-10-09 09:46

0推荐

5566浏览

MTCTF2022决赛-Mako ImageMagick（基于wsl2+phpstorm+xdebug调试分析）

对于2022美团ctf决赛中的一个mako框架的反序列化漏洞分析，使用的是wsl2+phpstorm+xdebug的环境进行调试分析

• 0
• Sakura501 发布于 2022-10-09 09:38

0推荐

7865浏览

细数Django框架核心历史SQL注入漏洞（上）

最近总结了一下 Django 框架曾经出现的 SQL 注入漏洞，总共有七个 CVE ，分别都简单分析复现并写了文章，总体来说会觉得比较有意思，在这里分享一下。

• 1
• shenwu 发布于 2022-10-08 09:34

0推荐

9240浏览

Thymeleaf SSTI

Thymeleaf是SpringBoot中的一个模版引擎，简单来说就类似于Python中的Jinja2，负责渲染前端页面。当使用不当的时候就会导致SSTI漏洞。

• 1
• sp4c1ous 发布于 2022-10-08 09:29

2推荐

7514浏览

从CVE-2017-3881看Cisco IOS逆向

从Cisco的大型路由器的交换机系列开始学习Cisco的IOS逆向分析，IOS在设计模式上和分析上和简单的固件分析不同，尤其是调试，网上的资料也较为分散和稀少，这里根据一段时间的学习总结出一些方法...

• 2
• 就叫16385吧 发布于 2022-09-29 10:02

1推荐

6396浏览

TP6.0.13反序列化分析

ThinkPHP6.0.13反序列化漏洞分析，写的不对的地方望各位师傅指出。

• 1
• NaMi 发布于 2022-09-29 10:00

1推荐

11707浏览

【实战】镜像检材取证和嫌疑人证据场景下实战思路教程 PART Ⅲ

故事背景（纯属虚构）是网络监控发现嫌疑人正在售卖自己非法授权攻击网站获取的学生和员工隐私信息（一个数据库），其中包含了性别，薪资情况，身份证，地址，手机号码，相似亲人手机号码等等，发现本次数据库交易金额为1万余元

• 2
• Tangerine 发布于 2022-09-26 09:21