本公众号技术文章仅供参考!文章仅用于学习交流,请勿利用文章中的技术对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。没有新的内容,经过后台某个老哥的提...
01月31日15 views评论bypass
shellcode
bypass 1-初识and静态处理
01月31日15 views评论bypass
shellcode
01月31日15 views评论bypass
shellcode
记录一次前端RSA加密的逆向
1、开局一个登录框2、看看历史的数据包,可以看到对密码进行了加密处理,并且携带了一个uuid参数。3、经过测试,uuid随验证码刷新更新,通过/prod-api/captchaImage接口获取,咱主...
01月31日7 views评论rsa
关键字
记一次多业务多入口的打点方式
公众号现在只对常读和星标的公众号才展示大图推送,建议大家把ElyiumSec设为星标,否则可能就看不到啦!-----------------------------------------------...
01月31日3 views评论多业务多入口打点
eduSRC那些事儿-3(命令执行类+越权逻辑类)
本文对edusrc挖掘的部分漏洞进行整理,将案例脱敏后输出成文章,不包含0DAY/BYPASS的案例过程,仅对挖掘思路和方法进行相关讲解。命令执行类St2命令执行在电量查询手机管理平台,观察到.do或...
01月31日11 views评论servlet
敏感信息
【漏洞挖掘】任意用户修改密码漏洞2
免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公...
01月31日11 views评论伪随机码
漏洞挖掘
4,660 美元赏金 CVE-2024-21733 Apache Tomcat HTTP 请求走私(客户端异步)
摘要:最近,Apache Tomcat发布了一个关于信息泄露的漏洞通告,该漏洞被标识为CVE-2024-21733,严重性为重要。以下是该漏洞的详细信息以及受影响版本的缓解方案:漏洞详情:漏洞编号: ...
01月31日29 views评论sec
请求走私
实战 | 一键自动生成通杀的xss绕过playload
1.漏洞背景 在当今数字化时代,网络安全已成为企业和个人面临的最重要的挑战之一。随着越来越多的业务和交流活动转移到线上,网站和网络应用的安全性变得尤为关键。特别是,跨站脚本攻击(XSS)已经成为对网站...
01月31日19 views评论bypass
xss
同样都是光纤接入设备,OLT和ONT到底有啥区别?
来源:网络技术联盟站 你好,这里是网络技术联盟站,我是瑞哥。光纤通信系统在现代通信网络中扮演着至关重要的角色。为了实现高效、快速的光纤接入,OLT(Optical Line Terminal)和ONT...
01月31日53 views评论用户设备
通信协议
HTTP2请求走私(上)
协议介绍HTTP/2是HTTP协议自1999年HTTP 1.1发布后的首个更新,它由互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis(httpbis)工作小...
01月31日9 views评论encoding
标识符
未授权文件上传发现思路 | SRC实战
前言根据月佬对于doc.html与knife4j接口文档的讲解,在某处信息收集打点的时候发现该问题。收集-knife4j语法:图标搜索 + 学校资产通过搜索该图标可以发现knife4j接口文档如何搜索...
01月31日12 views评论文件上传
未授权
SRC挖掘思路及方法
最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算写一些自己挖漏洞的诀窍。src推荐新手挖洞首选漏洞盒子,因为漏洞盒子范围广,国内的站点都收。相比于其他src平台,挖掘难道很适合...
01月31日21 views评论sql注入
xss
绕过某教务系统的评教限制的成绩查询工具
0x01 工具介绍众所周知,果壳的教务系统要查成绩,首先要评教。但讲个笑话,出成绩了→发现没评教→打算去补→发现评价不了……还有一点,评教的主观题强制要求十五字,就很**……虽然有个json的简单方法...
01月31日18 views评论主观题
成绩查询工具
5485