概述 RMI(Remote Method Invocation) :远程方法调用。它使客户机上运行的程序可以通过网络实现调用远程服务器上的对象,要实现RMI,客户端和服务端需要共...
浅析JNDI注入
JNDI Trail: Java Naming and Directory Interface (The Java Tutorials) (oracle.com) The JNDI Tutorial ...
HTB:Obscurity渗透测试
靶机介绍: Obscurity是中等难度的Linux机器,特点是自定义web服务器。代码注入漏洞被利用来获得作为www-data的初始立足点。弱文件夹权限会显示用于加密用户密码的自定义加密算法。已知的...
动静态结合分析非标准MD5算法及还原
看雪论坛作者ID:小想法(题外话:恭喜看雪论坛ID:飞翔的猫咪,获得看雪安卓应用安全能力认证高级安全工程师!)第一题Cyberchef还原屏幕上显示的字符串的生成算法,点开apk是一串hex字符串。j...
【漏洞速递 |附PoC】Cobalt Strike RCE漏洞| CVE-2022-39197
Cobalt Strike 到 4.7 中发现了一个 XSS(跨站点脚本)漏洞,允许远程攻击者在 Cobalt S...
如何优雅实现 Spring Boot 并行任务
点击下方“IT牧场”,选择“设为星标”Spring Boot 的定时任务:第一种:把参数配置到.properties文件中:代码:package com.accord.task; ...
2022年第五空间网络安全大赛WriteUp | Web & Misc
misc 5_简单的Basesakana_reveage 题目有本地文件写入,而且是先写入,再判断zip的external_attr。考虑可以用条件竞争。构造两个z...
羊城杯CTF 题目wp
本文来自“白帽子社区知识星球”更多红队题材或其他技术内容可见知识星球“红队专栏01Cryptoeasyrsa题目from flag import flagfrom Crypto.Util.number...
从零开始的内存马分析——如何骑马反杀(一)
文章首发于奇安信攻防社区https://forum.butian.net/share/1811在某次实战攻防中,有一对儿小马和大马,他们两个通过了层层设备,终于打入了内网,只是在砍杀的过程中,露出了马...
定位之别发照片骗(黑客)技术人
今早看到推荐的Python获取女朋友发来加班拍照定位地址是酒店的段子,本来准备验证下,顺便练练手的,最后安装执行pip install json报没有指定版本号。一怒之下搞我大JAVA,验证可行与场景...
CVE-2022-1388:F5 BIG-IP身份验证绕过RCE
上方蓝色字体关注我们,一起学安全!作者:shiyi@Timeline Sec本文字数:1422阅读时长:3~4min声明:仅供学习参考使用,请勿用作违法用途,否则后果自负0x01 简介F5 BIG-I...
又一个src漏洞的批量挖掘分享
本篇只谈漏洞的利用和批量挖掘。在接触src之前,我和很多师傅都有同一个疑问,就是那些大师傅是怎么批量挖洞的?摸滚打爬了两个月之后,我渐渐有了点自己的理解和经验,所以打算分享出来和各位师傅交流,不足之处...
36