前言相信大家在找工作还是hvv面试的时候,shiro反序列化这种标志性的漏洞是最常问的,我们应该大都是通过背漏洞原理来蒙混过关,而且就在上个月也是通过shiro反序列化为入口,成功打穿一个医院的内网,...
12月04日14 views评论payload
序列化
从漏洞挖掘的角度深入分析shiro反序列化漏洞
12月04日14 views评论payload
序列化
12月04日14 views评论payload
序列化
万户OA数据库解密
前言 万户oa是一种基于云计算的协同办公平台,可以帮助企业实现高效协同办公和信息资源的共享。万户oa具有多种功能,包括文档管理、组织架构、日程安排、任务管理、邮件管理、审批流程等,可以满足企业不同部门...
12月04日58 views评论aes
万户OA
JS前端逆向
前言js逆向一直没有相关了解,虽然目前渗透遇见的不是很多,大多数遇见的要么不加密,要么无法实现其加密流程,不过最近看到了一个较为简单的站点正好能够逆向出来,就做了简单记录。本文旨在介绍js逆向的一些基...
12月01日21 views评论aes
js文件
某OA EC9 VerifyGDLogin任意用户登录分析
0x01 前言在跟踪泛微补丁包时发现Ecology_security_20230725_v9.0_v10.58.3的SecurityRuleGdLogin0317的补丁疑似修复了一个SQL注入,因此跟...
12月01日12 views评论aes
var
我用4年追踪经验分享,Lockbit勒索家族该怎么防?(附排查加固策略)
大家好,我是深信服千里目安全技术中心负责病毒分析研究的工程师。相信各位最近都听说了Lockbit勒索病毒的“大事记”,市面上关于Lockbit事件的分析铺天盖地,全球各大单位、机构、企业安全部门人心惶...
11月29日11 views评论勒索软件
深信服
【渗透测试】AES+SM4 两层加密算法加密传输场景下的通用渗透测试思路
AES+SM4 两层加密算法加密传输场景下的通用渗透测试思路文章转载自:Zgao's blog最近的一个渗透项目中,网站的流量用到了AES+SM4 两层加密算法加密传输。遇到传输加密的网站,通常是没办...
11月27日18 views评论aes
流量
逆向案例】某东合集之动态algo vm(三)
渗透测试高级技巧(二):对抗前端动态密钥与非对称加密防护
在前文的技术分享中,我们描述了验签和静态对称加密(静态密钥 AES)的常见场景,大家我相信遇到类似的加解密清醒,基本都可以通过热加载的基本使用获得破解前端加密解密的方法,达到一个比较好的测试状态。在本...
11月13日17 views评论javascript
渗透测试
2023 鹏程杯
周末打了一下鹏城杯,密码学方向的赛题都是一些“老东西”拼凑起来的。唯一一个不熟悉的 HNP 问题,还因为出题人的“宅心仁厚”,可以直接忽视。[LeakyRSA]from Crypto.Uti...
11月07日622 views评论aes
密码学
他们在韩国最大安全技术峰会,分享了这个Office高危漏洞分析
当你收到了一个压缩包或访问了一个远程服务器的文件系统打开了里面的Word文档你知道吗,这时你的电脑可能已经暴露于黑客前如果不加以修复,可能面临被攻击的风险日前,韩国2023 PoC(Power of ...
11月07日31 views评论深信服
高危漏洞
Shiro 550反序列化漏洞分析
Shiro 550反序列化漏洞分析因为现阶段工作涉及到了审计的相关内容,接下来会多看审计的东西。由此记录以下。不过还是以dotnet为主。私以为,程序上的问题大差不差,触类旁通吧。多看看没坏处。参考直...
10月26日38 views评论反序列化
序列化
burpsuite插件————AES-Killer的使用
下载地址:https://github.com/Ebryx/AES-Killer Burpsuite Plugin to decrypt AES Encrypted traffic on the fl...
10月25日35 viewsburpsuite插件————AES-Killer的使用已关闭评论burpsuite
response
17