免责声明以下涉及到的漏洞已提交至edusrc教育行业漏洞报告平台并已修复,由于传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果...
收包流程与包捕获技术介绍
前言在流量分析工作中经常会使用到包捕获技术,今天结合收包流程来讨论下常见的几种包捕获技术。图解链路层收包过程网卡将数据包转移到内存Step1-3网卡驱动创建了报文描述符环形队列,并为队列中的每个描述符...
2022天融信教育杯CTF赛事WP
点击蓝字 关注我们声明本文作者:ckcsec本文字数:3531阅读时长:7 分钟项目/链接:文末获取本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载MISC「小秘密」提示:图片里...
CVE-2018-11776 Struts2远程代码执行漏洞复现
点击蓝字·关注我们KUAI 一、漏洞描述 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作...
记一次短信轰炸漏洞挖掘
短信轰炸漏洞一般分为两种: 1.对一个手机号码轰炸n次2.对单个手机号码做了接收验证次数,但是可以对不同手机号发送短信无次数限制在漏洞挖掘中遇到个有意思的案例,写篇文章分享出来。在接收短信处都有...
Linux网络流量安全审计的神器
来自公众号:入门小站介绍Netcap (NETwork CAPture) 是一个基于命令行的工具,用于对网络流量进行数据包数据分析,该工具能够捕获网络流量中的数据包流并将其转换为系统可以识别的审计记录...
银行Java站SSRF组合洞打法造成的严重危害
Part1前言这篇文章源于之前做的某银行的红队评估项目,第一次打进去用了一个客服系统的0day漏洞,而且一直打到了银行的核心区。半年后项目续签,开始了第2轮红队评估项目,再想打进去就非常困难了。代码审...
高鲁棒性恶意流量识别研究
今天为大家介绍一篇清华大学计算机系徐恪老师团队在ACM CCS‘21上发表的文章,其解决了智能恶意流量识别系统中实时性鲁棒性不可兼得的难题。Realtime Robust Malicious Traf...
实战 | 从前端代码审计挖掘未授权进入后台到文件上传拿下某色情网站
前言记录一次色情网站渗透经历,通过挖掘后台未授权登录以及文件上传getshell拿下服务器0x1起因就是某群友发了一个截图给我,心想免费的vps又来了0x2(信息收集)经过了一些常规的信息收集获得了该...
wireshark流量分析之添加计划任务行为检测
网安引领时代,弥天点亮未来 0x00故事是这样的1.添加任务计划命令其实有两个:①.at命令是Windows自带的用于创建计划任务的命令,但是at命令只在...
G.O.S.S.I.P 阅读推荐 2022-09-22
《皇帝的新衣》如果反过来讲会是怎么样呢?皇帝穿上了华丽的龙袍,但是所有人都说皇帝没有穿衣服,只有一个小孩怯生生地说道“可他明明是穿了衣服呀?” 我们今天为大家推荐一篇USENIX Security 2...
Wireshark TS | Packet Challenge 之 Window 案例分析
Packets don't lie前言来自于 Sharkfest Packet Challenge 中的一个数据包案例,Sharkfest 是 Wireshark 官方组织的一年一度的大会,致力于在 ...
57