免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
【Windows编码欺骗】.exe or .txt ?
0x00 前言RLO是微软的中东Unicode字符(Middleeast Unicode)中的一个,Unicode编码为0x202E,其作用是强制其后的字符变为从右到左的方式显示,一般用于中东语言(如...
CTF密码学解密神器Ciphey的应用
Ciphey的概述无论是在日常的渗透测试、代码审计等工作,亦或是在CTF竞赛中,总是能碰到一些不能一眼看出编码规则的字符串,这些字符串的编码规则或许并不复杂,但由于有限的知识面和脑洞并不能马上解码...
Thrift 序列化协议浅析
动手点关注干货不迷路 👆背景Thrift 是 Facebook 开源的一个高性能,轻量级 RPC 服务框架,是一套全栈式的 RPC 解决方案,包含序列化与服务通信能力,并支持跨平台/跨语言。...
.NET WebShell 免杀系列之Unicode编码
0x01 背景由dotNet安全矩阵星球圈友们组成的微信群里大家伙常常聊着.NET话题,这不今天有个群友问.NET WebShell 绕过和免杀的方法,而.NET下通常用Process或其他的类和方法...
Cobalt Strike 分析:CS元数据编码和解码
关键词Cobalt Strike, 逃逸, 后漏洞利用阶段,元数据1. 概述Cobalt Strike是一款商业的威胁模拟软件,可在网络中模拟一个安静的、长期嵌入的Beacon。它能与外部的服务器通信...
WebAssembly 软解 HEVC 在 B 站的实践
本期作者吴世阳bilibili开发工程师主要负责 B 站视频云 WasmPlayer 研发,专注于前端多媒体领域李晓波bilibili资深算法工程师主要从事HEVC、AV1以及VVC编码器和解码器的研...
JSON Web Token 攻击和漏洞
点击上方蓝字“Ots安全”一起玩耍JSON Web 令牌 (JWT) 提供了一种使用 JSON 对象安全地交换数据的方法。它们通常用于授权,因为它们可以被签名、验证并因此被信任——但只有在正确实施的情...
视频压制入门篇
压制简介压制可以简单的理解为压缩(编码)+重新制作需求:对几十G的视频文件压缩成几个G大小且不影响观看可将字幕加入原视频【视频本身无字幕且已经校准过】相比Pr更加简单【不涉及剪辑部分】避免被平台进行二...
Base64隐写
Base64编码是一种常见的编码方式,本文首先介绍了Base64编码的原理,在此基础上介绍了Base64隐写的原理,然后给出了CTF比赛中Base64隐写的一个实例,最后在附录中给出了Base64编码...
OSCP难度靶机之Temple of DOOM:1
虚拟机信息:虚拟机下载地址:https://www.vulnhub.com/entry/temple-of-doom-1,243/虚拟机简介:有两种方式获取root权限目标:1个flag级别:简单/中...
通过 base64 编码的 JSON 进行 XSS
点击上方蓝字“Ots安全”一起玩耍这是我在测试应用程序跟踪系统时非常有趣且出乎意料的发现之一。假设目标是 target.com,范围内只有一个子域,让我们称之为sub.target.com。现在,每当...
12