0x01 域渗透安全手册介绍0x02 域渗透安全手册获取项目链接:https://github.com/0range-x/Domain-penetration_one-stopPDF链接:https:...
Django SQL注入漏洞(CVE-2021-35042)快速复现
前言:Django在2021年7月1日发布了一个安全更新,修复了在QuerySet底下的order_by函数中存在的SQL注入漏洞。正文:这里使用vulhub,不会的可以参考前文,选择目录然后启动:使...
九维团队-青队(处置)| 代码注入和钩子(五)
写在前边1.本文原文为K A, Monnappa. 2018年发表的《Learning Malware Analysis》,本文的相关内容均为笔者对相关内容的翻译及实践记录,仅供各位学术交流使用。另出...
网络基础36张图
本文来源:网络技术平台正文开始前先问问:你对OSI和TCP/IP这种基础陌生吗?据观察,哪怕是理论基础薄弱的,也会多少知道它。为啥呢?因为,OSI和TCP/IP是很基础但又非常重要的知识,很多知识点都...
主机提权 | 浅析sudo堆缓冲区溢出漏洞CVE-2021-3156
1概述1.1漏洞介绍2021年1月26日,sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行...
蓝军分工
蓝军分工总结蓝军任务分工,不限于攻防演练,可根据实际情况修改。0day组(职责 = 负责代码审计,内容 = 二进制web等)渗透工具工程化组(职责 = 工具化渗透过程,内容 = 自动化收集和漏洞利用工...
干货 | 微信社工攻击防护方案
微信聊天作为日常亲友沟通,工作交流的主要方式之一,在用户的潜意识中,往往不会对微信好友时刻保持警惕性,这就给了微信钓鱼攻击者可乘之机,攻击者为了获取目标信任,往往会进行身份伪装。常见的被伪装身份包括求...
某靶场通关全过程
扫一扫关注公众号,长期致力于安全研究前言:Me-and-My-Girlfriend-1靶场0x01 扫描首先用-sn扫一下存活的主机,本机是139,所以推测140可能是靶场-sn(用四种方式扫描)nm...
GitHub账户重命名可引发供应链攻击
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本...
点击劫持攻击-攻击示例(下)
在本节中,将解释什么是点击劫持,描述点击劫持攻击的常见示例,并讨论如何防范这些攻击。将点击劫持与DOM XSS攻击相结合到目前为止,我们已经将点击劫持视为一种独立的攻击。从历史上看,点击劫持已被用于执...
Zoho Password Manager Pro 后利用技巧
简介 学习zoho pmp这块相关知识点,简单做个总结 指纹 server=="PMP" 默认开启在7272端口 安装 https://www.manageengine.com/p...
初探命令执行漏洞
命令执行漏洞是值攻击者可以随意执行系统命令,它属于高危漏洞之一,也属于代码执行的范畴。命令执行漏洞不仅存在 B/S 架构中,还在 C/S 架构中也常常遇到。应用有时需要调用一些执行系统命令的函数,如 ...
5576