记一次VM-PWN痛苦经历这是来自2025软件系统安全赛一道vm题型,由于全程只有5小时做题,在比赛期间打这个vm题眼睛都看花了,在比赛结束后总历时7小时才做完,能力还是太有限了。VM-PWN题这其实...
IDA 技巧(71) 反编译为调用
尽管 Hex-Rays 反编译器最初是为处理编译器生成的代码而编写的,但它在处理手写汇编时也能表现得不错。然而,这类代码可能会使用非标准指令或以非标准方式使用它们,这种情况下,反编译器可能无法生成等效...
2024网鼎杯白虎组WriteUP
刚结束了2024年网鼎杯白虎组,让我们一起回顾一下那些引人入胜的题目以及巧妙的解题思路吧!在今天的分享中,我们将深入探讨部分misc题目及其解答方法,希望能够为大家提供一些启发和帮助。MISCMISC...
伪装成向日葵安装程序的最新银狐样本分析
一、样本来源 从某个模仿向日葵安装程序钓鱼页面获取到了一个银狐的样本 下载之后得到如下exe程序 通过威胁情报平台查询样本请求的域名可以得知这是银狐组织的投放的恶意文件 二、样本基本信息 文件名: s...
2024年“羊城杯”粤港澳大湾区网络安全大赛初赛—WriteUp By EDI
01 Web 1 Lyrics For You 读源码 /lyrics?lyrics=/usr/etc/app/app.py import osimport random from config.se...
CTF分享 | 命令执行-2
代码执行介绍 代码执行与命令执行: 代码执行介绍: 当用户提交的参数被作为代码的时候,此时称之为代码注入。 广义代码注入:覆盖大半安全漏洞分类,例如: SQL注入、XSS跨站等。 狭义代码注入:动态代...
挖掘 AI 聊天机器人工作流程中的RCE
本文笔者将介绍在一个流行的聊天机器人平台上发现的价值4位数$的远程代码执行问题,让我们开始吧。 介绍: 近年来,人工智能聊天机器人在各行各业越来越受欢迎,它们提供高效的客户服务,增强用户参与度,并简化...
PWN入门——金丝雀风波
栈上的缓冲区变量发生溢出时,可能会导致非预期情况(比如返回地址被劫持)的产生,进而导致一系列的安全问题。为了缓解该问题,Linux退出金丝雀机制Stack Canaries对栈进行保护,保护原理在下方...
特斯拉上价值 10000 美元的 XSS 漏洞
我有幸尝试破解的有趣事物之一是特斯拉Model 3。它内置了网络浏览器,享有免费的高级LTE网络,并且支持OTA。这简直就是一个高速移动的联网计算机。 年初,我买了一辆特斯拉Model 3,不仅开起来...
【图像挖掘】挖掘一段TikTok视频拍摄位置
2024年5月5日,一个TikTok用户发布了一段视频,是在直升机上拍摄的一个油田。现在来挖掘这段视频的拍摄地点。从视频上可看到该TikTok用户的用户名是:@montgomery901 该用户简介是...
CISCN华东北 2024 比赛题解
声明 本文作者:CTF战队-xia0le 本文字数:约6800字 阅读时长:约18分钟 附件/链接:点击查看原文下载 本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载 由于传播、利用此文所提供的...
揭秘PHP反序列化漏洞-入门:黑客是如何入侵你的网站的?
揭秘PHP反序列化漏洞--入门:黑客是如何入侵你的网站的?什么是反序列化?-格式转换(无非就是将数组或者字符串格式转换成对象)序列化serialize()class S{ &nbs...