社工思路讨论:如何根据蛛丝马迹来找到具体的人或者物? Stefan | 2013-12-03 16:13 前些日子看到核总博客里面讨论的一些 熊猫请喝茶的技术手段,但是咱们平头老百姓一个,没那么大权限...
浅谈fastjson waf Bypass思路
前言 Fastjson是一个阿里巴巴开发的java高性能JSON库,应用范围非常广。虽然其性能强、适配性高,但是也出现过相关RCE缺陷。 相关的安全设备...
渗透实战某学校shell:目录遍历+上传组合拳shell
△△△点击上方“蓝字”关注我们了解更多精彩0x00 Preface [前言/简介]好久没水文章了,因为实在是不知道写什么。基础的表哥们都会,太难的轮到我不会了....在这个犯难期间,突然我们团队的一个...
浅谈入侵溯源过程中的一些常见姿势
本文来源:乌云安全 si1ence0x0 背景攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的...
【HW前知识库储备】浅谈攻击溯源的一些常见思路
今年的HW来的比往年更早一些,甚至说有些仓促。春节假期养上来的膘还没来得及减下去,就要拖着沉甸甸的肉去准备HW了~~~0x0 背景攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量...
细说渗透江湖之出荆棘入深林
前言大家好,我是一名正义的使者,常常在黑夜来临的时候,徜徉在网络的海洋中,突破层层防御抵近核心区域,在“游戏规则”的限定内为了达到我的目的,我不断突破自己。不知道这样过了多少个黑夜。当我第一次看见目标...
入侵检测系列1(下):基于私有协议的加密流量分析思路(Teamviewer篇)
写在前面在1(上)篇,我主要从私有协议的分析方式开始,通过抓取TeamViewer包观察其流量行为,从日志中获取协议的各个行为入手,对协议各个流程进行分解。而在1(中)篇,我继续对协议流程...
解构安全运行能力体系建设: 从思路到实践
安全运行能力体系建设的本质是构建基于装备、战术战法、兵力部署的“作战”体系。在现实工作中大家经常探讨的常态化、体系化、实战化,都涉及非常重要的环节,这就是落地和实际的运营建设问题。一、安全运营的现状近...
【奇技淫巧】挖掘网站支付漏洞中突然想到的一个骚思路
对一个产商做渗透测试已经三天了,大大小小的传统、逻辑漏洞已经挖掘的差不多了,抱着最后在试一试的心态,于是认真把整个购物的流程仔细分析了一次,就有了下面这个案例。截图比较模糊,师傅们将就着看看哈&nbs...
2020 KCTF秋季赛 | 第三题设计及解题思路
11月22日中午12点,第三题《重返地球》结束。14支战队用时1天,速战速决,结束本题的战斗。 本题围观人数1986人,T.O 战队率先攻击成功,获得一血加分!总排名上升至第13...
西湖论剑-WriteUp
Web EasyJson解题思路unicode绕下过滤就行,默认会进行html编码,但是<没过滤。可以直接传php后缀,照常getshell后执行readflag即可得到flag。MiscYus...
代码审计从0到1 —— Centreon One-click To RCE
作者:huha@知道创宇404实验室 时间:2020年8月26日前言代码审计的思路往往是多种多样的,可以通过历史漏洞获取思路、黑盒审计快速确定可疑点,本文则侧重于白盒审计思路,对Centre...
14