互动
最近评论
A1
stonewu
感谢博主,崩溃转储文件的堆栈跟踪得到的反汇编看到是内存读写,可否贴以下导致崩溃那个地址前的反汇编代码呀,可以验证是否是申请一个结构体/对象的返回地址。
标签
寻找感兴趣的领域
文章
CTF 16 二进制安全 13 木马/病毒 12 渗透测试 70 域渗透 6 网安前沿时报 29 协议 13 数字取证 2 工具 53 网络安全威胁情报 28 个人隐私保护 23 脚本 8 团队笔记 33 技术分享 225 反序列化 32 网络攻防 3 靶场 1 漏洞 216 Halo 0
CSRF-代码审计+检测绕过
漏洞网络安全 未读
CSRF-代码审计+检测绕过
csrf漏洞-黑白盒判断 CSRF安全问题黑盒怎么判断: 1、看有没有验证来源 2、看凭据有没有token 3、看关键操作有没有验证
技术分享 漏洞
XXE漏洞-黑白盒测试+无回显
网络安全漏洞 未读
XXE漏洞-黑白盒测试+无回显
什么是xxe漏洞? XML被设计是为了传输和存储数据,XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害
技术分享 漏洞 渗透测试
Python反序列化漏洞
网络安全漏洞 未读
Python反序列化漏洞
python反序列化漏洞前置知识 漏洞原理 代码中进行了反序列化操作,反序列化魔术方法可以被触发,且反序列化的参数可控 <
反序列化 漏洞 渗透测试 技术分享
找回机制-修改返回状态值+找回密码重定向
网络安全 未读
找回机制-修改返回状态值+找回密码重定向
案例:某app---找回密码修改返回状态值判定验证通过 进入福利期货注册一个账号,点击忘记密码,输入正确验证码,抓取忘记密码的数据包,右键选择Do intercept----response to this request模块(接收当前数据包的返回包),
技术分享 渗透测试
应用协议-Kibana+Zabbix+远控向日葵
网络安全 未读
应用协议-Kibana+Zabbix+远控向日葵
案例:CNVD-2022-10207:向日葵RCE 影响客户端版本: 11.1.1 10.3.0.27372 11.0.0.33162
渗透测试 技术分享 协议
中间件安全-漏洞-Docker+Websphere+Jetty
网络安全漏洞 未读
中间件安全-漏洞-Docker+Websphere+Jetty
中间件-Docker Docker容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行POC或EXP,就可以返回一个宿主机的高权限Shell,并拿到宿主机的root权限,可以直接操作宿主机文件。 它从容器中逃了出来,因此我们形象的称为Docker逃逸漏洞。 判断拿下的sh
技术分享 漏洞 渗透测试
漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动
漏洞网络安全 未读
漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动
Acunetix: Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的
技术分享 渗透测试 漏洞
WAF绕过-工具特征-菜刀+冰蝎+哥斯拉
网络安全 未读
WAF绕过-工具特征-菜刀+冰蝎+哥斯拉
演示:工具流量数据包特征-菜刀+冰蝎+哥斯拉 使用Wireshark全局抓包工具抓取数据包演示: Wireshark下载: https://g
渗透测试 工具 技术分享
WAF绕过-漏洞利用篇-sql注入+文件上传-过狗
漏洞网络安全 未读
WAF绕过-漏洞利用篇-sql注入+文件上传-过狗
WAF绕过主要集中在信息收集,漏洞发现,漏洞利用,权限控制四个阶段。 1、什么是WAF? Web Application Firewall(web应用防火墙),一种公认的说法是“web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。 基本可以分为以下4
漏洞 技术分享 渗透测试
代码审计-thinkphp历史漏洞挖掘
网络安全 未读
代码审计-thinkphp历史漏洞挖掘
代码审计必备知识点: 1、代码审计开始前准备: 环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。 2、代码审计前信息收集: 审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。 3、代码审计挖掘漏洞根本: 可控变量及特定函数,不存在过滤或过滤不严谨
漏洞 技术分享
代码审计-Java项目-未授权访问审计
网络安全 未读
代码审计-Java项目-未授权访问审计
代码审计必备知识点: 1、代码审计开始前准备: 环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。 2、代码审计前信息收集: 审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。 3、代码审计挖掘漏洞根本: 可控变量及特定函数,不存在过滤或过滤不严谨
漏洞 技术分享
GeoServer property RCE注入内存马
网络安全 未读
GeoServer property RCE注入内存马
背景 GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作。在GeoServer 2.25.1, 2.24.3, 2.23.5版本及以前,未登录的任意用户可以通过构造恶意OGC请求,
技术分享 木马/病毒
常见的JSP_Webshell免杀小tips
网络安全 未读
常见的JSP_Webshell免杀小tips
内置函数免杀/MimeLauncher+反射 正常的jsp马,直接通过GET参数调用Runtime中的exec方法进行命令执行,这里如果正则匹配到Runtime.getRuntime().exec则很容易被查杀 <% if("023".equals(request.getParameter("p
技术分享
Linux应急响应手册
网络安全 未读
Linux应急响应手册
前言 在当前的攻防对抗态势中,防守一侧的情况就和木桶效应一样,尤其是在已经被攻破的系统中,排查持久化控制程序如同大海捞针,这本应急响应手册的意义是希望能够有效发现木桶的短板,给予应急响应人员一个较为明确的指导思想,同时给出经过实践测试的操作方法,保证受害系统经过了一次相对全面的排查,以避免由于应急响
技术分享 网安前沿时报
800+常用漏洞POC/EXP
漏洞团队笔记 未读
800+常用漏洞POC/EXP
漏洞收集 收集整理漏洞EXP/POC,大部分漏洞来源网络,目前收集整理了800多个poc/exp,善用CTRL+F搜索 2024.07.27 新增漏洞 金和OA-C6-GeneralXmlhttpPage.aspx存在SQL注入漏洞 汇智ERP接口filehandle.aspx存在任意文件读取漏洞
漏洞 技术分享 团队笔记
你好啊!我是
狼目安全
文章数 :
472
访问量 :
48082
建站天数 :
2023-08-05
最新评论
最近发布
QQ交流群
QQ交流群
【反诈专题】防范于心,防诈于行——防诈骗安全知识宣传
【反诈专题】防范于心,防诈于行——防诈骗安全知识宣传
数字取证工具列表集合 Forensics tools
数字取证工具列表集合 Forensics tools
OpenWrt LuCi 任意文件读取
OpenWrt LuCi 任意文件读取
使用 eBPF 捕获无需 CA 证书的 SSL/TLS 文本内容
使用 eBPF 捕获无需 CA 证书的 SSL/TLS 文本内容
DDoSecrets 推出大型“泄密库”搜索引擎
DDoSecrets 推出大型“泄密库”搜索引擎
移动安全框架 (MobSF) 存在存储型XSS漏洞 CVE-2024-53999
移动安全框架 (MobSF) 存在存储型XSS漏洞 CVE-2024-53999
Wordpress ElementorPageBuilder插件存在文件读取漏洞CVE-2024-9935
Wordpress ElementorPageBuilder插件存在文件读取漏洞CVE-2024-9935
Lorex 2K 安全摄像头存在五个漏洞-可让黑客完全控制
Lorex 2K 安全摄像头存在五个漏洞-可让黑客完全控制
JeecgBoot SQL注入漏洞CVE-2024-48307
JeecgBoot SQL注入漏洞CVE-2024-48307
分类
引用到评论
随便逛逛 博客分类 文章标签