Part1 前言 大家好,我是ABC_123。Shiro反序列化漏洞于2016年公布,漏洞编号为CVE-2016-4437,也被称为Shiro-550,虽然过去8年了,但是目前仍是红队人员重点关注...
记录src漏洞挖掘中的sql注入waf绕过
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。宝子们现在只对常读和星标的公众号才展示大图...
Oracle注入漏洞绕waf的新语句
Part1 前言 这篇文章源于之前做的一个银行红队项目,遇到到了一个Oracle数据库的SQL注入漏洞,但是网上能搜索到的各种SQL语句都没法出数据,所以客户不认可这个漏洞的危害...
Weblogic反序列化漏洞绕waf方法总结(建议收藏)
Part1 前言 在日常的渗透测试及各种攻防比赛项目中,waf设备的拦截是越来越厉害了,以至于很多朋友遇到weblogic 2017-10271、weblogic 2019-27...
Burp suite 分块传输绕WAF辅助插【文末赠书】
Chunked coding converte本插件主要用于分块传输绕WAF,不了解分块传输绕WAF的请阅读下方“相关文章”。功能设计插件要实现的功能在Burp Repeater套件上可对数据包进行快...
记一次shiro绕waf的记录
日常渗透项目,9月初扫描出一个shiro漏洞且可以成功利用,但是非目标资产,一个月后确认了是目标资产,再次利用时发现上了waf了,最终成功绕过。过程第一次利用很顺利,第二次发现shiro key还是可...
2022年公众号47篇原创文章总结
Part1 前言 大家好,我是ABC_123,提前祝大家新春快乐,万事如意,新年新气象。2022年上半年我建立了此公众号”ABC123安全研究实验室”,得到了很大关注。8个月的时...
weblogic反序列化漏洞绕waf方法总结,2017-10271与2019-2725漏洞绕waf防护
Part1 前言 在日常的渗透测试及各种攻防比赛项目中,waf设备的拦截是越来越厉害了,以至于很多朋友遇到weblogic 2017-10271、weblogic 2019-27...
第45篇:weblogic反序列化漏洞绕waf方法总结,2017-10271与2019-2725漏洞绕waf防护
Part1 前言 在日常的渗透测试及各种攻防比赛项目中,waf设备的拦截是越来越厉害了,以至于很多朋友遇到weblogic 2017-10271、weblogic 2019-27...
一系列操作使sqlmap识别一个奇葩的延时注入点并绕waf的艰难过程
Part1 前言 在最近的一次渗透测试项目中,遇到了一个奇葩的SQL延时注入漏洞,sqlmap无法识别出来。但是客户非让在测试环境跑出数据进行验证,否则不认可这个漏洞的危害性。编...
XSS漏洞扫描器1.3k个payload自带绕waf
01前言此扫描器对反射XSS的扫描几乎是失效的(可能是因为这漏洞大家都看不起?)此程序有点年头了仅供学习使用(当然改一改还是能用)文末获取成品下载链接微信交流群满200人了需要加我好友拉进去哦(之前那...
打工人的跑路之路(十)
颜渊、季路伺。子曰:“盍各言尔志?”子路曰:“愿车马衣裘,与朋友共,敝之而无。”颜渊曰:“愿无伐善,无施劳。”子路曰:“愿闻子之志。”子曰:“老者安之,朋友信之,少者怀之。第一天面实习生还有点紧张,本...