0x01 工具介绍 fastjson漏洞批量检测工具,根据现有payload,检测目标是否存在fastjson或jackson漏洞(工具仅用于检测漏洞),若存在漏洞,可根据对应payl...
漏洞利用小工具
1、一款漏洞利用小工具 仅学习交流使用 大佬勿喷(写的有点匆忙 ~ ~) 2、由于环境有限,部分应用利用漏洞较少,后续有环境能复现的时候,会尽量添加一些漏洞 方便日常学习使用 3、增加部...
XXL-JOB内存马
免责声明:本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担...
记一次非法网站资金盘股票基金的渗透-漏洞挖掘
0x01 前言 简单的描述一下,在某次客户的授权渗透中发行客户网站被植入了暗链,一般这种暗链都是些非法网站,于是我就点开了这个暗链发现是一个资金盘,简简单单的翻了一下,立马锁定目标站,具体...
【漏洞预警】JumpServer 多漏洞安全风险通告
01漏洞介绍JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。其开源、零门槛等特性帮助大量客户实现企业服务器用户授权、运维管理、安全审计等需求。近日,网星安全团队...
2024蓝队护网HW面试全攻略概览:经验与技巧先行看<一>
随着网络安全的日益重要,护网行动已成为企业保障信息安全的关键环节。对于即将参与蓝队护网行动或相关面试的朋友们,了解基础知识、掌握实战技巧至关重要。本文将为大家提供一份《2024蓝队护网HW面试攻略》的...
【渗透测试】Yakit-交互式应用安全测试平台
Yakit-交互式应用安全测试平台Yakit 是一款交互式的应用安全测试平台,它旨在帮助用户更好地测试和保护 web 应用程序的安全性。在本文中,我们将介绍 Yakit 的功能、用法和技巧,以便用户更...
6种典型的商业间谍软件实例分析
商业间谍软件是一种软件应用程序/脚本,也被称为“跟踪软件”、“监视软件”,主要功能包括非法数据收集、后门行为、远程控制工具、屏幕截图、密钥记录以及复制设备剪贴板中的内容等。商业间谍软件可以帮助恶意行为...
Pwn2Own 2021 Jscript9 远程代码执行漏洞
这是我前段时间为 Jscript9.dll 中的 JavaScript JIT 类型混淆漏洞编写的漏洞利用的简短文章。我展示了一种利用 JavaScript 引擎中类型混淆漏洞的经典技术。该漏洞利用完...
2024 年 5 种最适合黑客攻击的编程语言
由于微信公众号推送机制的改变避免错过文章麻烦您将公众号设为星标感谢您的支持!-->进入正题啦在不断发展的技术世界中,黑客攻击已成为普遍关注的问题。虽然一些黑客将他们的技能用于恶意目的,但其他黑客...
Spring漏洞利用工具 Scan-Spring-GO
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
Java实战篇-XXE漏洞利用从潜到深
目标经典渗透场景 - 登录框(授权合法渗透)初步挖掘发现某JSP路径返回包泄露了代码信息,且疑似存在XXE漏洞通过泄露的代码构造出post请求包测试,漏洞存在Poc:<?xml version=...
36