互动
最近评论
A1
stonewu
感谢博主,崩溃转储文件的堆栈跟踪得到的反汇编看到是内存读写,可否贴以下导致崩溃那个地址前的反汇编代码呀,可以验证是否是申请一个结构体/对象的返回地址。
标签
寻找感兴趣的领域
文章
神兵利器-ThinkphpGUI
网络安全 未读
神兵利器-ThinkphpGUI
ThinkPHPGUI Thinkphp(GUI)漏洞利用工具,支持各版本TP漏洞检测,命令执行,getshell。(如果感觉对您有帮助,感觉不错的话,请您给个大大的 ⭐️❗️ ) JFormDesigner可视化编写,没有javafx可视化好用(建议学javafx)。 检测不到的payload欢迎
工具
java代码审计-sql注入
网络安全 未读
java代码审计-sql注入
0x01 前言 Java里面常见的数据库连接方式有三种,分别是JDBC,Mybatis,和Hibernate。 0x02 JDBC注入场景 很早之前的Javaweb都是用JDBC的方式连接数据库然后去实现dao接口再调service业务层去实现功能代码 JDBC连接代码 @WebServlet("/
技术分享
java代码审计-文件操作
网络安全 未读
java代码审计-文件操作
0x01 任意文件读取 @GetMapping("/path_traversal/vul") public String getImage(String filepath) throws IOException { return getImgBase64(filepath); }
技术分享
多版本.net系统代码审计
团队笔记网络安全 未读
多版本.net系统代码审计
前言 做项目喜闻乐见的获取了bin.rar,当时快速过了config交了数据库权限,然后看代码发现mobileController下方法未授权,交了一些信息泄露,大部分是人员手机相关。项目结束后想交cnvd,写了个nuclei跑了一下结果没几个,当时大为不解,但是感谢他们部署系统的好习惯,顺手测了另
技术分享 团队笔记
Edu挖掘记录
网络安全 未读
Edu挖掘记录
记一次Edu挖掘 平时不怎么爱挖src,因此除了项目需要之外(基本全部都是企业的网站),业余几乎不会抽时间去挖挖各大众测平台的src,还没有挖过类似于学校edu这一类的src,于是就想着玩一下,看看有什么区别。 目标定夺 首先是目标的问题,一般对于网站的一些首页,内容太多,所以打起来会比较墨迹,因此
技术分享 漏洞
内网渗透-Kerberos认证流程详解
网络安全 未读
内网渗透-Kerberos认证流程详解
一、前言 Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“证明我自己是我自己”的问题,从而使得通信两端能够完全信任对方身份,在一个不安全的网络中完成一次安全的身份认
技术分享
渐进式 Web 应用程序 (PWAs) 网络钓鱼
网络安全 未读
渐进式 Web 应用程序 (PWAs) 网络钓鱼
使用渐进式 Web 应用程序和 UI 操纵进行网络钓鱼。 Progressive Web Apps (PWAs) Phishing 介绍 渐进式 Web 应用 (PWAs) 是使用 Web 技术(即 HTML、CSS、JavaScript)构建的应用,可以像本机应用一样安装和运行。PWAs 与操作系
个人隐私保护 工具
IDOR漏洞挖掘技巧与waf绕过
网络安全漏洞 未读
IDOR漏洞挖掘技巧与waf绕过
基本步骤: 1. 如果可能,创建两个帐户,否则首先枚举用户。 2. 检查端点是私有的还是公共的,是否包含任何类型的id参数。 3. 尝试将参数值更改为其他用户id,看看是否对他们的帐户有任何影响。 4. 完成! ! 寻找可能存在漏洞的功能点 注册 密码找回
渗透测试提权 漏洞
ipfilter IP地址白名单过滤器
网络安全 未读
ipfilter IP地址白名单过滤器
IP地址白名单过滤器,可配合微步API分析,护网蓝队重保工具。 0X01 工具背景 在护网场景中,作为乙方公司的蓝队防守人员,经常会遇到一些客户具有相当多的不可封禁的IP地址,如负载均衡IP,站前代理IP,内网漏扫IP,云防节点IP地址。 尽管我们在研判流量威胁时,已经确认了这些IP地址确实存在攻击
脚本 工具 技术分享
EXE转二进制工具可base64加密
网络安全 未读
EXE转二进制工具可base64加密
EXE转二进制工具可base64加密 下载地址 https://lp.lmboke.com/EXE转二进制.zip
脚本 工具
ATT&CK攻击链规则检测梳理实践
团队笔记网络安全 未读
ATT&CK攻击链规则检测梳理实践
0x00故事是这样的 1、ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是由美国MITRE公司提出的一个站在攻击者视角来描述攻击中各阶段用到的技术的模型。它将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,
技术分享 渗透测试提权
ATT&CK攻击链规则之Webshell检测与实践
网络安全 未读
ATT&CK攻击链规则之Webshell检测与实践
本次将阐述T1505_003对应的ATT&CK大类中的持久性(persistence)类别,进一步归属于一级分类的服务器软件组件(Server Software Component)下的Web Shell子类别。
渗透测试提权 技术分享
不同协议下的SSRF如何获取GetShell
网络安全 未读
不同协议下的SSRF如何获取GetShell
0x00写在前面 本次测试仅供学习使用,如若非法他用,与本平台和发布者无关,需自行负责! 0x01SSRF漏洞介绍 服务端请求伪造(Server-Side Request Forgery)简写SSRF,是一种攻击者构造特殊的请求,由服务端发起请求的安全漏洞。下图简单示
协议 技术分享
浅析Fastjson场景下Java Bcel字节码实践应用
网络安全 未读
浅析Fastjson场景下Java Bcel字节码实践应用
0x00写在前面 本次测试仅供学习使用,如若非法他用,与本平台和发布者无关,需自行负责! 0x01Java Bcel字节码介绍 BCEL全名Byte Code Engineering Library
技术分享 团队笔记
免杀!魔改frp内网隧道
网络安全 未读
免杀!魔改frp内网隧道
1、前言 在渗透测试中都有流量代理转发的需求,但是现如今的安全设备的流量识别愈加强大,很多开源的工具都会被流量设备所识别,如果不进行特征的去除的话会被流量设备识别并告警,所以本文针对frp工具进行特征的去除。 2、魔改
技术分享
你好啊!我是
狼目安全
文章数 :
438
访问量 :
41574
建站天数 :
2023-08-05
最新评论
最近发布
【反诈专题】防范于心,防诈于行——防诈骗安全知识宣传
【反诈专题】防范于心,防诈于行——防诈骗安全知识宣传
JRMP通信攻击过程及利用介绍
JRMP通信攻击过程及利用介绍
Cyber​​Panel 2.3.6 RCE poc & exp 零点击预认证 root RCE
Cyber​​Panel 2.3.6 RCE poc & exp 零点击预认证 root RCE
JAVA安全之Thymeleaf模板注入检测再探
JAVA安全之Thymeleaf模板注入检测再探
nuclei template poc | CyberPanel Remote Code Execution
nuclei template poc | CyberPanel Remote Code Execution
JAVA安全之FreeMark沙箱绕过研究
JAVA安全之FreeMark沙箱绕过研究
绕过EDR防病毒软件[免杀] EDR Antivirus Bypass
绕过EDR防病毒软件[免杀] EDR Antivirus Bypass
K8s Dashboard Config利用攻击面
K8s Dashboard Config利用攻击面
Kubelet端口未授权访问利用
Kubelet端口未授权访问利用
gitleaks 扫描git存储库文件和目录中的敏感信息
gitleaks 扫描git存储库文件和目录中的敏感信息
分类
引用到评论
随便逛逛 博客分类 文章标签