文章前言 命令注入攻击是一种常见而危险的攻击方式,它可以使攻击者通过在目标系统中注入恶意命令来获取系统权限并执行恶意操作,为了应对命令注入攻击,开发人员们通常会采取各种限制措施,例如:输入验证、参数化...
如何在Cobalt Strike中使用Payload-Generator实现Payload自动化构建
关于Payload-GeneratorPayload-Generator是一款功能强大的安全测试脚本,该工具专为红队研究人员设计,可以帮助广大研究人员在Cobalt Strike中使用Payload-...
Linux权限维持-PAM Backdoor
PAM是什么PAM是一种认证模块,PAM可以作为Linux登录验证和各类基础服务的认证,简单来说就是一种用于Linux系统上的用户身份验证的机制。进行认证时首先确定是什么服务,然后加载相应的PAM的配...
04-命令执行漏洞备忘录
命令执行漏洞备忘录,个人知识归档。——前言阅读声明:纯技术分享,文章仅供参考,文中的知识或工具仅限于读者对自己所负责的网站、服务器等进行学习研究和授权测试,严禁用于一切未授权测试和非法测试,否则产生...
实战攻防-艰难打点之bypass绕过文件上传
前言某次打点过程中,艰难的绕过某次上传不是星标不推送文章了。师傅也不想吧~快把极梦C设置成星标吧。前言目标存在注册功能,注册账号后发现普通用户,后台存在文件上传功能...
虚拟号码场景下的逻辑漏洞挖掘(全网原创首发)
引言由于最近挖洞遇到的虚拟号码场景比较多,且都存在各种各样的问题,所以本篇文章来总结一下在该场景下应该如何有效地,快速地进行逻辑漏洞挖掘(文章中涉及真实信息,所以厚码,见谅)一、漏洞分析这里要讲的虚拟...
数据驻留是什么以及为什么很重要?
数据驻留是一个热门话题,尤其是对于云数据而言。原因是多方面的,但焦点是由《通用数据保护条例》(GDPR) 驱动的,该条例管辖欧盟和欧洲经济区的信息隐私。GDPR 规定了收集、处理和存储用户个人数据和隐...
一文详解信创技术(软件篇)
上篇“信创基础硬件:CPU、GPU、存储和整机”。信创产业,即信息技术应用创新产业,旨在实现信息技术领域的自主可控,保障国家信息安全。从产业链角度看,信创产业主要由基础硬件、基础软件、应用软件、信息安...
Thinkphp历史RCE总结与复现
点击蓝字 原文始发于微信公众号(SecHub网络安全社区):Thinkphp历史RCE总结与复现
记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理
XX酒业服务器用的是本地化机房部署,完美运行着Tomcat,MySQL,SQLserver2014等程序。 系统为php语言编写的自建WEB业务程序,网络前端部署一台某公司防火墙,但...
xss漏洞-反射+存储+DOM
XSS跨站-反射型&存储型&DOM型等产生原理:服务器没有对用户提交的数据做过滤或者过滤不严谨,直接回显到了用户浏览器,浏览器对其进行了js解析并执行,导致了xss漏洞。攻击原理:攻击...
分析 CVE-2023-51467 - Apache OFBiz 身份验证绕过远程代码执行
介绍Apache OFBiz 是一种开源企业资源规划 (ERP) 解决方案,具有一套旨在简化和自动化各种业务流程的应用程序。值得注意的是,最近的一项发现揭示了 Apache OFBiz 中的一个关键身...
5695