5推荐

2328浏览

文件读取漏洞实战利用

实战场景下的两个任意文件读取漏洞利用。

• 0
• subjcw 发布于 2024-12-31 10:00

2推荐

1339浏览

ios下某浏览器小说去广告分析与Hook

支持正版，从我做起，仅供学习！！

• 1
• 江小虫儿 发布于 2024-12-27 09:00

5推荐

4214浏览

利用js挖掘漏洞

在漏洞挖掘中，通过对js的挖掘可发现诸多安全问题，此文章主要记录学习如何利用JS测试以及加密参数逆向相关的漏洞挖掘。

• 16
• 中铁13层打工人 发布于 2024-11-26 09:37

9推荐

3635浏览

资产收集常用工具以及思路总结

渗透测试中拿到目标资产后需要对目标资产进行资产整理再进行测试，目标资产形式可能是企业名称、域名信息等。此篇文章主要总结对目标资产收集的一些思路、渠道和工具等。

• 18
• 中铁13层打工人 发布于 2024-11-15 10:00

6推荐

2610浏览

记一次hvv中供应链拿靶标的代码审计过程

某地市级hvv，某下级单位研究院官网使用了这套cms，通过供应链拿到源码，并开始了thinkphp3.2.3审计过程。

• 2
• 律师 发布于 2024-11-15 09:00

5推荐

2959浏览

一文搞懂加密流量检测的解决方法和技术细节

这篇文章从一个略懂密码学的安全分析工程师的角度围绕加密流量检测的问题开展详细的分析；让每一位读者明白加密流量的检测原理，以及目前市面上常见的检测方法落地。

• 2
• Ga0WeI 发布于 2024-11-14 09:58

0推荐

22819浏览

如何将 Node.js 应用程序中的文件写入提升为 RCE

在这篇博文中,我们将强调代码安全基础的重要性。我们会展示一个技术案例:攻击者如何能够把 Node.js 应用中的文件写入漏洞转化为远程代码执行,即便目标系统的文件系统是以只读方式挂载的。这个技术通过利用暴露的管道文件描述符来获得代码执行能力,从而绕过了这类加固环境中的限制。

• 1
• csallin 发布于 2024-11-01 10:00

1推荐

1811浏览

Jackson中Json隐式数据类型转换与参数走私浅析

在 Java 中处理 JSON 数据时，隐式数据类型转换通常是由 JSON 处理库自动进行的，这些库会根据 JSON 值的格式和上下文来推断并转换数据类型。浅析其中的参数走私案例。

• 0
• tkswifty 发布于 2024-11-01 09:00

15推荐

4137浏览

记一次实战小程序漏洞测试到严重漏洞

记录一次从小程序静态分析+动态调试获取到严重漏洞的过程

• 16
• 律师 发布于 2024-10-31 09:00

0推荐

2218浏览

在 EDR 时代恶意软件通过虚拟化逃避终端检测

本博客文章回顾了一种逃避工具的演变，旨在在红队合作中协助有效载荷传递。我们将涉及该工具的历史以及在进攻和防御进展面前的未来潜力。

• 0
• csallin 发布于 2024-10-30 09:40

4推荐

3008浏览

小程序sign逆向和渗透两种思路，总有一款适合你

解开微信devtools进行debug获取加密逻辑和还原js后硬逆，两种思路各有利弊

• 4
• 小惜渗透 发布于 2024-10-18 09:00

0推荐

2023浏览

gson参数走私浅析

Gson 是一个由 Google 开发的 Java 库，用于将 Java 对象序列化为 JSON 格式，以及将 JSON 字符串反序列化为 Java 对象。Gson 以其简单易用和高性能而闻名，它提供了一种非常直观的方式来处理 JSON 数据。浅析其中潜在的参数走私场景。

• 0
• tkswifty 发布于 2024-10-11 09:00

0推荐

3332浏览

Spring WebMvc.fn路由解析与权限绕过浅析

WebMvc.fn 是 Spring Web MVC 的一部分，它提供了一种轻量级的函数式编程模型，允许开发者使用函数来定义路由和处理 HTTP 请求。这种模型是注解编程模型的替代方案。 浅谈其中的权限绕过问题。

• 3
• tkswifty 发布于 2024-09-30 10:00

1推荐

2705浏览

JDK高版本下的JNDI利用以及一些补充

某次行动的时候遇到了jolokia的JNDI注入利用，由于诸多原因需要更稳定的shell，所以考虑JNDI打入内存马，但是遇到了瓶颈。现在准备进一步学习，争取能够实现这个通过JNDI打入内存马的功能。

• 2
• stoocea 发布于 2024-09-30 09:00

1推荐

3422浏览

万户ezOFFICE协同管理平台 GeneralWeb XXE to RCE

之前实战遇到了，但是网上的poc懂得都懂，索性就专门研究一下漏洞成因，利用以及内存马方面

• 0
• Bmth666 发布于 2024-09-29 10:00