不会的东西就慢慢尝试问题背景源自于和朋友的一次技术讨论,关于 Wireshark 如何查找特定字符串所在的 TCP 流,原始问题如下:仔细琢磨了下,基于我对 Wireshark 的使用经验,感觉一步到...
实战之特殊越权
Part1 前言 更篇文章,尽量做到一周一更,这次写一个小tips分享。 写这篇文章,其实没想好用什么名字,想来想去就定个特殊越权,其实说特殊吧其实也不是多特殊。 但是确实实战场景里面会有这种情况。 ...
记一次失败的Fastjson漏洞利用
0x01 前言在社区中,较少看到关于“失败”案例的文章。本文将记录一次在负载均衡场景下失败的 fastjson 漏洞利用案例。0x02 简介目标环境黑盒Fastjson,BCEL 利用链payload...
wireshark常用协议过滤
一、地址过滤 对源地址及目的地址过滤 ip.src == ip地址 ip.dst == ip地址 对源地址或者目的地址过滤 ip.addr == ip地址 排除某个地址数据包过滤 !(ip.addr ...
Bypass XPath Injection
m‘ or ‘1’=’1‘ or ‘’=’ ‘ or 1]%00 ‘ or /* or ‘ ‘ or “a” or ‘ ‘ or 1 or ‘ ‘ or true() or ‘ ‘or string-...
分析Jar包的GUI工具 -- jar-analyzer
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负...
蓝桥杯历年真题官方题解——平方和
点击蓝字 关注我们今日「每日一题」来啦!历年真题题目:平方和。还没有加入专属刷题群的小伙伴,记得扫码哟~(每天会在群里发蓝桥杯历年真题)题目描述本题为填空题,只需要算出结果后,在代码中使用输出语句将所...
Web Generic vulnerabilities File contains
Web Generic vulnerabilities File contains免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.文件包含漏...
CVE-2022-2143 Advantech iView NetworkServlet 命令注入RCE
调用关系查询MATCH (n:Class{NAME:'javax.servlet.http.HttpServlet'})-[:EXTEND]-(c:Class)-[:HAS]->(m:Metho...
OpenTSDB 2.4.0远程代码执行
在Pentest期间,我们在yrange参数中使用命令注入在OpenTSDB 2.4.0及更低版本中发现...
如何使用pmd编写xpath rule来检测安全合规问题
本文重点讲解xpath的语法。因为真他妈的难搞。首先,xpath分1.0和2.0 ,2.0的方法很多,各种牛逼的方法 很便捷,但是他妈逼的pmd和sonar部分其他的xpath规则只能支持1.0的。如...
攻守道:流量分析的刀光剑影(上)
前言前一段时间,各家都在为攻防演练积极筹备着此时,有些真正的攻击者也在利用这个档口对一些网站进行攻击,浑水摸鱼,这样,对于防守队员来说,分析流量做应急的工作就会变得更加困难。这不,某公司内网网络被黑客...