5推荐

17520浏览

浅析FastJson不出网利用方式

实战中，有些环境是不出网的，就无法利用JNDI攻击，这里介绍下FastJson本地的利用方式。

• 9
• ki10Moc 发布于 2022-12-08 09:58

1推荐

7238浏览

记一次 Donot 样本分析

分享一个比较新的 Donot 组织的样本分析过程

• 0
• 沐一·林 发布于 2022-12-01 09:00

3推荐

7763浏览

Piwigo_12.2.0_两枚SQL注入_CVE

近期与朋友一起看的两个洞，Piwigo 的两枚 SQL 注入漏洞，二次注入的漏洞挺有意思的，在这里记录一下。

• 3
• shenwu 发布于 2022-11-30 09:00

1推荐

7350浏览

CVE-2022-0778漏洞触发

因为这个漏洞主要是存在与BN_mod_sqrt中，关键点在于需要构造一对特殊的a,p才能触发这个漏洞，这里主要是学习如何得到这一对特殊的a,p，涉及到Tonelli/Shanks算法的学习

• 0
• cipher 发布于 2022-11-25 09:00

1推荐

8307浏览

CVE-2022-28219 Zoho ManageEngine ADAudit Plus XXE到RCE漏洞复现

Zoho ManageEngine ADAudit Plus XXE到RCE漏洞复现

• 0
• 7bits 发布于 2022-11-18 09:00

3推荐

8403浏览

CVE-2022-39227漏洞分析

前两天打祥云杯初赛的时候有一道很有意思的web题，其中涉及到了jwt伪造相关知识，多方查询找到了一个pyjwt包的CVE，编号为CVE-2022-39227，不过并没有详细的POC，所以就来自己分析一下这个漏洞

• 2
• BenBenben 发布于 2022-11-11 09:00

0推荐

6783浏览

强网拟态预选赛2022WriteUp

强网拟态预选赛2022WriteUp

• 0
• Sakura501 发布于 2022-11-08 09:30

0推荐

10445浏览

NewStarCTF-Week3&4的WEB题目详解

就最近的NewStarCTF中的第三周和第四周的WEB题目进行详细分析，进行不同知识点的学习。

• 0
• Sakura501 发布于 2022-10-21 09:30

0推荐

10087浏览

细数Django框架核心历史SQL注入漏洞（下）

最近总结了一下 Django 框架曾经出现的 SQL 注入漏洞，总共有七个 CVE ，分别都简单分析复现并写了文章，总体来说会觉得比较有意思，在这里分享一下。本篇文章是下篇。

• 0
• shenwu 发布于 2022-10-21 09:30

0推荐

6861浏览

laravel5.1反序列化

本文分析laravel5.1的反序列化链子

• 0
• binbin 发布于 2022-10-17 10:05

0推荐

7961浏览

对jsoncpp库进行亿次AFL模糊测试

利用AFL对jsoncpp库进行编译测试，并尝试采用自构造字典、多核并行测试，持久模式等多种特色，利用了四个核进行并行测试，共计完成测试1亿余次。运行总时间约24小时，每个进程fuzzer的轮数约为平均90轮。Totalpath约为3000左右。map density约为2% / 4%。count coverage约为5bits/tuple。 Cpu的利用率约为150%，平均每个进程发现20个unique crash。

• 0
• 用户180910387 发布于 2022-10-14 09:39

3推荐

13298浏览

红队域渗透NTLM Relay：强制认证方式总结

本文介绍了 NTLM Relay 相关概念及攻击流程。按照笔者理解，NTLM Relay 分为三个部分：监听器设置、触发NTLM认证和中继后攻击，其中关于触发 NTLM 认证的方式可以分为诱导的方式（系统命令、PDF文件等）、欺骗的方式（LLMNR/NBNS）和强制等方式，而本文第二部分着重探讨强制触发认证的方式，包括五种：PrinterBug、PeitiPotam、DFSCoerce、ShadowCoerce、PrivExchange，最后介绍一款集成工具Coercer

• 5
• xigua 发布于 2022-10-13 09:18

5推荐

11899浏览

Springboot攻击面初探（一）

学习Springboot！

• 24
• qiana 发布于 2022-10-10 09:16

1推荐

7798浏览

pickle反序列化深入python源码分析

本文深入python底层，分析pickle反序列化时操作，对自主构造payload有所帮助，还以2022年美团杯ezpickle等题目作为例子，进行深入分析，非常适合初学者了解pickle反序列化

• 1
• binbin 发布于 2022-10-10 09:12

0推荐

7979浏览

2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛-Writeup

2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛-Writeup

• 0
• Sakura501 发布于 2022-10-09 09:46