介绍LaZagne项目是一个开源应用程序,用于检索存储在本地计算机上的大量密码。每个软件都使用不同的技术(明文、API、自定义算法、数据库等)存储其密码。开发此工具的目的是为最常用的软件查找这些密码。...
Fastjson:我一路向北,离开有你的季节(下)
点击上方“蓝字”,关注更多精彩 bypass waf 近几年waf的是反序列化漏洞头号大敌,面对waf的封禁,我们又该何去何从勒? 利用Fastjson默认会去除键、值外的空格、b、n、r、f等特性,...
ecology 9 SQL 注入漏洞分析
前言2月23日友商发布了一篇 修复方案|泛微e-cology9 SQL注入高危漏洞[1], 笔者注意到了这个漏洞并对此进行了进一步分析。补丁笔者马上在官网[2]下载补丁,根据时间线下载了最新...
BrowserGhost抓取浏览器密码的工具
BrowserGhost介绍:这是一个抓取浏览器密码的工具,后续会添加更多功能当前已经完成的功能:实现system抓机器上其他用户的浏览器密码(方便横向移动时快速凭据采集)用.net2 实现可兼容大部...
国产数据库南大通用gbase8s安装及使用
安装中涉及到的软件、安装包,都可以关注公众账号。发送消息gbase8s获取一、安装通过docker安装、docker命令如下:docker search gbase8sdocker pull liao...
搜狗浏览器账号密码解密
✎ 阅读须知乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入...
CVE-2022-31197 PostgreSQL JDBC SQL注入分析
写在前面偶然看到了CVE-2022-31197,是由于ResultSet.refreshRow()引发的SQL注入,感觉有点小有意思,正好之前学习了JDBC attack,决定分析一下漏洞造成的原因漏...
【漏洞复现】Fastjson反序列化漏洞(CVE-2017-18349)
漏洞简介事项描述漏洞概述fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利...
【漏洞复现】fastjson反序列化漏洞(CNVD-2019-22238)
漏洞简介事项描述漏洞概述fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。影响范围1.2....
红队工具 | HackBrowserData浏览器数据导出工具
HackBrowserData 是一个浏览器数据(密码|历史记录|Cookie|书签|下载记录|localStorage|浏览器插件)的导出工具,支持全平台主流浏览器。免责声明:此工具仅限于安全研究,...
恶意 Tor 浏览器安装程序正通过 YouTube 进行分发
卡巴斯基的安全研究员近期发现,有大量恶意 Tor 浏览器安装程序的受害者在中国出现。研究人员发现,恶意 Tor 浏览器安装程序的下载链接被发布在一个规模较大的中文 YouTube 频道上,该频道经常分...
浅谈Fastjson RCE漏洞的绕过史
引言最近一段时间fastjson一度成为安全圈的热门话题,作为一个是使用十分广泛的jar包,每一次的RCE漏洞都足以博得大众的眼球,关于fastjson每次漏洞的分析也已经早有大牛详细剖析,本文章旨在...