Kubernetes攻防 Kubernetes攻防学习笔记为 https://pan.baidu.com/s/15juyPUVwBScBfyyrAJKHXQ 提取码:rshy 本文版权归作者和微信公众...
一次js混淆测试记录
0x01 前言这是一次js混淆的测试记录,也算是对自己的一次挑战,遇到问题就要迎难而上,方能知道自己到底有多菜。本次属于授权测试,任何未授权的测试都是违法行为!0x02 测试01 初步测试拿到手的是一...
OSCP系列靶场-Esay-SunsetNoontide
目录总结准备工作信息收集-端口扫描目标开放端口收集目标端口对应服务探测信息收集-端口测试漏洞利用-getwebshell漏洞利用-unrealircd内网遨游-getshell交互shellFLAG1...
一万多块奖金的PaaS平台漏洞
现在国内有很多PAAS平台,为开发者提供快速构建部署应用环境。基本上PAAS平台提供了CI/CD的能力的,大部分都支持JAVA应用构建。今天的目标的国内某PAAS服务商,由于不方便透露是哪个平台,就叫...
OSCP从WEB到内网&&文件上传&&SSH公私钥免密登录&&Cron job提权打靶经验分...
OSCP------Amaterasu目录启动环境:信息收集攻击阶段内网渗透提权启动环境:启动VPN:openvpn universal.ovpn攻击机IP为192.168.45.201启动目标靶机:...
IO攻击之stdout
题目:BUUCTF HITCON2014_STKOF这是一道很老的题目的,原本解题是采用unlink方式,但是介于这个方式在高版本上加入了过多限制条件,以至于只能在2.23到2.27低版本上使用较为方...
XXE漏洞原理挖掘
XXE漏洞全称为XML外部实体注入漏洞,它发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行。XXE漏洞触发的点出现在系统可以上传XML文件的位置,...
jumpserver最新re-auth复现(伪随机经典案例)
0x00 前言最近edwardz(彭博)提交了个jumpserver的未授权rce,可以说是非常精彩,复现下来后发现确实是一个很经典的伪随机例子,这也是我一直想写但是找不出合适例子做教学的一套组合拳,...
黑客(红队)攻防中Webshell不出网时reGeorg和Pystinger的使用
前言: 最近开学几周后着实是有点忙,所以就鸽6438815737763254了很久的文章,还请大家见谅.. reGeorg+Proxifier: 在实战情况下有时会遇到外网Getshell准备...
使用 ZAP 扫描 API
####################免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开...
WAF绕过-权限控制篇-后门免杀
WAF绕过主要集中在信息收集,漏洞发现,漏洞利用,权限控制四个阶段。1、什么是WAF?Web Application Firewall(web应用防火墙),一种公认的说法是“web应用防火墙通过执行一...
Windows主机入侵检测与防御内核技术深入解析
一第1章内网安全与主机防御1.1复杂问题的简单起源一切起源于很多年前的一个下午,办公室里的电脑刚经过大规模的折腾。有人的机器感染了病毒,导致了局域网内部的感染,很多机器无法工作,纷纷被格式化重装。作为...