01 概述首先我们介绍下序列化和反序列化的概念:序列化:把Java对象转换为字节序列的过程。反序列化:把字节序列恢复为Java对象的过程。对象的序列化主要有两种用途:把对象的字节序列永久地保存到硬盘上...
honggfuzz漏洞挖掘技术深究系列(1)——反馈驱动(Feedback-Driven)
“ 反馈驱动:通过监控样本触发的代码覆盖率,进而改进输入样本以提高代码覆盖率,增加发现漏洞的概率。”目前业界中基于代码覆盖率的最著名的三大Fuzzer,当属Google开发的AFL、libf...
T00LS Metasploit系列教程(第二季)
(本教程于2015-01-01在T00ls首发,2016-05-04开放访问)时光飞逝,转眼间新的一年已经到来了,在今天这个特殊的日子里祝福大家元旦快乐!新年快乐!在这0 Q' {* S3 X...
没事发个Discuz! X系列全版本后台sql注入漏洞
铸剑学院 是首个依托于一线实战人员社区生态使“列装靶场+职业生态”形成良性互补的人才培训体系。它不但可以帮助用户循序渐进的掌握各种网络实战攻防技术,同时也是一个可以完全真实模拟生产环境,通过...
【渗透实战系列】|17-巧用fofa对目标网站进行getshell
涉及知识点:信息搜集目标网站IP利用fofa对目标ip的c段进行搜索发现数据库备份文件和管理界面登录数据库页面,进行写马写马成功,获取webshell声明:本文仅用于安全测试。1、目标测试网站地址aa...
Thinkphp3.x/5.x系列漏洞总结学习
ThinkPHP 漏洞列表一、3.x使用方法cd /var/www/tp3ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell标题ThinkPHP5.0.10-3.2.3缓存函数设计缺陷...
T00ls五四青年节巨献:T00LS Metasploit系列教程(第三季)
(本教程于2016-03-24在T00ls首发,2016-05-04开放访问)时光冉冉,岁月如梭,时隔近一年,第三季metasploit视频再次和大家见面了,首先感谢羽翼大牛录制并提供的前两期meta...
honggfuzz漏洞挖掘技术深究系列(4)—— 扩展Fuzzer
对于一些复合文件格式,如果只是单纯的暴力Fuzzing,会导致生成很多无法被解析的文件,因此需要对文件变异作一些定制化的工作,比如docx、doc等office复合文件,docx是个压缩包,doc是个...
Thinkphp5.0.X系列再报0day
蹭个热度url为:http://www.xxx.com/public/index.php?s=captchapost提交_method=__construct&filter[]=system&...
BurpSuite系列 | HaE与Authz高效漏洞挖掘
【高效漏洞挖掘】HaE与Authz的搭配HaE与Authz均为BurpSuite插件生态的一员,两者搭配可以避免“越权”、“未授权”两类漏洞的重复测试行为。(适用于业务繁杂,系统模块功能多的场景)介绍...
【奇技淫巧】petya系列勒索木马免疫脚本
今天凌晨,据国外媒体在twitter爆料,一种名为“Petya”的新型勒索病毒席卷了欧洲。Petya: ...
Struts2 连载系列:S2-001漏洞分析
Why do this关于Struts2漏洞出现到现在,网上很多大佬已经发表过分析此系列漏洞的优秀文章。这些文献足以为我们了解struts漏洞提供足够的参考。但为什么还要写这篇文章呢,以个人观点认为,...
5