0x01 前情提要 北京时间11点42分,正准备划 20 分钟水去吃午饭,园长突然跟我说过火线的 IAST 突然开源了,原名灵芝IAST更名为洞态IAST,真是OMG。 IAST 也是同样使用 age...
暗处的隐秘者,DeimosC2大揭秘
工具名称:DeimosC2威胁类型:黑客工具简单描述:DeimosC2 是一款后渗透框架,该框架拥有远控、上传下载指定文件、获取主机密码等功能,且具有稳定、易用、支撑性强等特点。该工具曾被利用传播勒索...
JRASP 1.1.0 功能特性以及安装使用
“ 🔥🔥🔥国内技术领先的开源RASP社区” jrasp 从1.0.4 (2019年) 迭代至今,历经多个版本,1.1.0在原有基础上功能、性能和安全性等方面得到较大...
实战|一次从jmx到rce
渗透过程发现了一个集成的环境,开了jmx服务service:jmx:rmi:///jndi/rmi://1.1.1.157:9003/jmxrmi jconsole连上去之后发现一些敏感的账...
应用检测与响应ADR能力白皮书
前言随着云原生时代的来临,业务变得越来越开放和复杂,安全边界越来越模糊,固定的防御边界已经不复存在,仅仅依靠WAF这样的边界防护手段是显然不够的。基于请求特征+规则策略的防御控制手段仅能将部分危险拦截...
Python 恶意软件 AndroxGh0st 开始窃取 AWS 密钥
入侵 AWS 主机的动机有很多,最常见的就是挖矿与垃圾邮件。过去的一年内,Lacework 发现关键事件中有近三分之一都与垃圾邮件和恶意邮件有关。其中,大部分都与一个名为 AndroxGh0st 的 ...
Shell中的幽灵王者—JAVAWEB 内存马 【认知篇】
Goby社区第 21 篇技术分享文章全文共:6700 字 预计阅读时间:17 分钟自我介绍:大家好,我是 su18。无论是个人...
粉丝投稿:zabbix遇险记
Zabbix简介:zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理...
神兵利器 | DayBreak安装与使用
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。如网络安全攻防/红蓝对...
ZK框架权限绕过导致R1Soft Server Backup Manager RCE并接管Agent
环境 http://wiki.r1soft.com/display/ServerBackup/Install+Server+Backup+Manager+on+Debian+and+Ubuntu.ht...
一种JDBC Attack的新方式
背景 抽空在h1上看到了一个和JDBC Attack有关的案例,于是就简单看了下。 https://hackerone.com/reports/1547877 这个案例中提到的Aiven是一家提供Sa...
浅谈Agent内存马
Java Agent 在JVM中运行中,类是通过classLoader加载.class文件进行生成的。在类加载.class文件生成对应的类对象之前,我们可以通过修改.class文件内容,达到修改类的目...
13