学术研究涉及到各种技术,资源及工具的学习及整合,对于广大刚入门的安全研究人员不是很友好。为了能够帮助安全人员节省时间和提升效率,安全学术圈特此建设了[安全学术圈导航站],通过提供学术研究过程中的在线工...
关于blackhat2021披露的fastjson1.2.68链
熟悉fastjson1.2.68反序列化的请直接看三。一、fastjson 1.2.68反序列化历史fastjson 1.2.68可以利用java.lang.AutoCloseable绕过checkA...
DNSlog注入初探
from:https://forum.90sec.org/forum.php?mod=viewthread&tid=9675关于dnslog注入的文章和工具也有不少了,估计实际用的人还是比较少...
干货|GitHUB安全搬运工十
CUBE内网渗透测试工具,弱密码爆破、信息收集和漏洞扫描地址:https://github.com/JKme/cubeHow to Read Source and Fuzzing一些阅读源码和Fuzz...
【技术分享】DDoS介绍与防御
工具https://github.com/poornigga/tfn2k.githttps://github.com/cxueqin/falcon.git //tfn2k web版本https://g...
第十一周/20211213红队推送
【特别推荐】Apache Log4j2 (CVE-2021-44228)漏洞相关攻击IOC全披露https://mp.weixin.qq.com/s/WRgvxHs4eQhD4lcP4Ahs3g帮助寻...
信息收集系列之指纹识别
前言 在渗透测试过程中,如何才能从大量的互联网资产中提取易受攻击的信息系统(例如VPN、邮服、CMS、OA、Shiro、Struts2等),逐渐成为信息收集中一个必不可少的环节。01工具调研在线指纹识...
【渗透测试】我如何找到对电子商务网站 300 万用户个人数据的读/写访问权限?
点击上方蓝字“Ots安全”一起玩耍我是网络安全研究员Prashant Singh。这是我的第一个漏洞赏金文章。只是我对社区的一小部分贡献。我不能透露漏洞赏金计划的名称,因此在这种情况下,它会被称为 r...
Jerbrains 道高一尺,魔高万丈
上来先说点题外话,很多人留言开源项目IDE Eval Resetter不好用了。于是我去测试了一下,得出了个结论:2021.2.2及以下版本很好用;2021.3以下(不含)堪堪能用,需要配合一些手法;...
记录渗透某站成功拿到shell
注:此文在土司发过一次 作者已授权微信搜一搜moonsec记录渗透某站成功拿到shell1前言这几个月忙项目去了,回来发现号变僵尸号了QAQ,这里记录一次对某站的渗透,过程比较曲折,最终成功...
SpringBoot相关漏洞复现 | SEC-GXX
本文主要是参考各路前辈的文章进行的复现,因此部分区域会因为原理不明出现复制粘贴的情况,因此本文会把参考链接方面前面参考链接:1、https://github.com/mpgn/Spring-Boot-...
dirty cow分析
说明 比较老的一个漏洞,但是对新手来说还是很有分析价值,在这里分析了一下把主要逻辑做成了图的形式方便理解。 参考自 https://www.anquanke.com/post/id/84784 htt...
188