网络安全
未读
避免DateTimeParseException异常的详细说明与解决方法
在Java中,使用java.time.LocalDate或其他日期时间类解析字符串时,如果字符串的格式与指定的或默认的格式不匹配,会抛出DateTimeParseException异常。 为什么会出现DateTimeParseException异常? DateTimeParseException是J
网络安全
未读
集群安全之Privileged特权模式逃逸
文章前言 当容器启动加上--privileged选项时,容器可以访问宿主机上所有设备,而K8s配置文件如果启用了"privileged: true"也可以实现挂载操作 前置知识 Security Context(安全上下文),用于定义Pod或Container的权限和访问
Java反序列化中jndi注入的高版本jdk绕过
jndi注入原理: JNDI(Java Name and Dictionary Interface Java名称与目录接口),一套JavaEE的标准,类似Windows注册表。 结构如下: key:路径+名称
value:存的数据(在jndi中存的是对象Object) jndi是java用于访问目录
网络安全
未读
Java代码审计---反序列化
序列化 序列化主要是将一个java对象转换为二进制字节流的过程,在学习反序列化之前,首先来学习一下序列化是什么,怎么进行,知其然,知其所以然。 序列化首先需要注意一下几点 实现 Serializable 接口:序列化的对象必须要实现Serializable接口,这个接口是一个标记接口,没有任何方法,
网络安全
未读
BTC ETH钱包碰撞器、钱包生成、钱包暴力破解、撞库
工具介绍 WEB3钱包暴力破解 加密货币钱包碰撞器、钱包生成、钱包暴力破解、碰撞,支持的区块链:BTC、ETH、BSC等。 BTC钱包碰撞器 BTC钱包生成 BTC钱包暴力破解 BTC对撞 BTC撞库 ETH钱包碰撞器 ETH钱包生成 ETH钱包暴力破解 ETH对撞 ETH撞库</
网络安全
未读
PHP代码审计----危险函数
什么是危险函数? 函数设计出来就是让人使用的,之所以危险,是因为其功能过于强大,开发人员特别是刚从业的人员很少会完整阅读完整个文档,再或者是没有意识到当给这些函数传递一些非常规的,外部可控的参数会带来什么影响。 $ GET//数组,存放着所有通过URL参数传递的数
$ POST//数组,当HTTP
网络安全
未读
macOS远程进程注入Shellcode
前言 非常感谢无私的郑佬分享某站的资源,看完 mach 相关章节后记录在 m1(arm) 下折腾远程进程注入的过程。 Mach IPC Mach[1] 最初是由卡内基梅隆大学作为微内
网络安全
未读
远程加载shellcode解密执行
Loader与shellcode分离,是目前比较常见的一种木马免杀方式,下面讲一下远程拉取加密shellcode到内存中进行解密执行的3种实现思路。 1、直接服务器托管payload 使用CS生成一个shellcode的bin文件
网络安全
未读
Shellcode 混淆和反混淆技术
使用此代码,您可以使用 Ipv4、Ipv6、MAC、UUiD 格式对 shellcode 进行混淆和反混淆。 用途 出于安全原因。我正在删除 payload.bin。你自己生成 .bin...! 例子: msfvenom -p windows/shell/reve
网络安全
未读
堆栈中ShellCode的利用原理
文章概览: 001-关于堆栈ShellCode操作:基础理论
002-利用fs寄存器寻找当前程序dll的入口:从动态运行的程序中定位所需dll
003-寻找大兵LoadLibraryA:从定位到的dll中寻找所需函数地址
004-被截断的shellCode:加解密,解决shellCode的零字截断问
网络安全
未读
微型XSS代码 Tiny XSS Payloads
项目地址 GitHub: https://github.com/terjanq/Tiny-XSS-Payloads 直链地址下载 https://lp.lmboke.com/Tiny-XSS-Payloads-master.zip 网站地址 https://tinyxss.terjanq.me/
网络安全
未读
shellcode随机值时间碰撞解密大法免杀
前言 前一篇通过aes加密shellcode的免杀在主机上运行有bug,提示缺少xxx.dll文件,这是由于aes的实现依赖于第三方库openssl导致的: 于是我重新研究了自定义算法——随机值时间碰撞解密大法。不再依赖于第三方库而且这名字一听就很diao的样子😂。