关键词木马攻击1 概览近期,安天CERT监测到通过GitHub传播窃密木马的攻击活动。攻击者在其发布项目的环境依赖文件requirements.txt中添加恶意URL,以获取其恶意篡改的流行开源模块,...
03月26日8 views评论恶意代码
窃密木马
分析GitHub窃密木马
03月26日8 views评论恶意代码
窃密木马
03月26日8 views评论恶意代码
窃密木马
记一次SRC测试
虽然SRC没收吧,但是这个思路还是挺值得记录的。过程很精彩,也是挖漏洞几年头一次碰到这么精彩的漏洞。因为路径都太敏感了,一眼就能看出来是什么问题。为了防止引起事端,我就直接描述就好了。在某天晚上准备结...
03月25日17 views评论fuzz
swagger
ReDoS漏洞的原理、示例与应对
日常开发过程中,开发人员经常需要从一大段复杂的字符串中快速匹配特殊规律的字符串,比如,在用户输入手机号、身份证号等字符后,提醒用户是否输入规范。通常,这些功能的实现需要依赖叫做“正则表达式”的方法,当...
03月25日8 views评论正则表达式
电话号码
ModuleStomping
本期作者/ shadow常规的注入手段通常的工作流程是,内存分配,写入载荷,执行载荷。而 ModuleStomping 注入通过利用已经 "分配" 的 RX 区域省去了内存分配的步骤,其中 shell...
03月25日4 views评论lfi
shellcode
vulnhub之joker的实践
本周实践的是vulnhub的joker镜像,下载地址,https://download.vulnhub.com/ha/joker.zip,用workstation导入成功,做地址扫描,sudo net...
03月25日2 views评论vulnhub
反弹shell
逻辑越权漏洞-水平越权+垂直越权
漏洞产生原理逻辑越权漏洞就是不同用户之间操作权限的请求数据包没有做验证或验证不完整,导致用户A修改了身份验证的标志后,就有了同权限或高权限的操作权限。通常用户访问一个应用的大致流程是:登陆—验证权限—...
03月25日10 views评论水平越权
越权漏洞
赏金猎人|SRC简单拿下某公交后台系统多个高危漏洞思路及试探通用型漏洞
0x01 前言 本次漏洞挖掘对象为某公交后台管理系统,经过前期信息打点,成功从js中拿到多个接口,通过接口获取到未授权信息泄露以及SQL注入,包括前端登录页面SQL语句不严谨导致的万能密码登录,某...
03月25日11 views评论赏金猎人
高危漏洞
漏洞挖掘 | EDU小通用漏洞分享
扫码领资料获网安教程本文由掌控安全学院 -叴龙 投稿又是没事干的一天,写一下之前挖的两个通用漏洞。随缘挖,没有技术含量勿喷。1.信息搜集首先就是信息搜集,挖edu没账号怎么办呢?sg妹子不行,咱就找能...
03月25日10 views评论信息搜集
漏洞挖掘
无处不在的sql注入加过安全狗上传木马
扫码领资料获网安教程日常测试文章来源: https://forum.butian.net/share/216文章作者:xingshen如有侵权请联系我们,我们会进行删除并致歉sql注入这个漏洞现在已经...
03月25日4 views评论sql注入
无处不在
剖析美国政府视角下的ICT供应链安全
2018 年 11 月 15 日,美国国土安全部(DHS)宣布成立了信息和通信技术 (ICT) 供应链风险管理(SCRM)工作组,这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合...
03月25日4 views评论供应链
供应链安全
记一次对涩涩游戏的渗透历程
某日清晨,还在熟睡中的我就被微信铃声吵醒。哦~原来是npy发来的消息,打开一看映入眼帘的是一些不知名但很受年轻人喜爱的“涩涩”小游戏。 只听见扑通扑通的心跳,心想难道她要跟我玩这个游戏嘛? 点开一看哦...
03月25日32 views评论hvv
后台
我绕过WAF的5种方法
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
03月25日29 views评论xss
防火墙
5561