SecIN安全技术社区

某次攻防演练中对任意文件读取漏洞的利用

声明：本次演练中，所有测试设备均由主办方提供，所有流量均有留档可审计，所有操作均在授权下完成，所有数据在结束后均已安全销毁。攻防演练参加的越多，越发感觉打点越来越难。。。之前shiro反序列化之类可...

07月12日186 views已关闭评论

阅读全文

SecIN安全技术社区

CVE-2022-24481

一、漏洞信息 CVE-2022-24481是发生在CLFS驱动中的一个类型混淆漏洞，通过精巧的对blf文件的部分数据进行构造，可使LogBlockHeader中的ClientContextOffset...

07月12日40 views已关闭评论

阅读全文

SecIN安全技术社区

深入解析pe结构（下）

数据目录表结构在可选PE头的最后部分拥有16个数据目录表，其结构如下 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //内...

07月12日44 views已关闭评论

阅读全文

SecIN安全技术社区

翻译文章-BYPASS AMSI的详细指南

原文链接：A Detailed Guide on AMSI Bypass - Hacking Articles 原文标题：A Detailed Guide on AMSI Bypass 序言 wind...

07月12日24 views已关闭评论

阅读全文

SecIN安全技术社区

Ichunqiu云境 —— Endless(无间计划) Writeup

Ichunqiu云境 —— Endless(无间计划) Writeup Author:小离-xiaoli 0x00 Intro 前言：两个入口点，一个入口点是pboot-cms，另外一个是SQL注入...

07月12日62 views已关闭评论

阅读全文

SecIN安全技术社区

shiro550，看这一篇就够了

shiro 550 shiro 550是对cookie中的RememberMe反序列化导致的漏洞，虽然16年就爆出了，但是现在在突破边界还是很好用环境搭建编辑器：IDEA 2020 java版本：...

07月12日49 views已关闭评论

阅读全文

代码审计

从Rome看二次反序列化

ROME ROME是一组Atom/RSS工具类，它用Java来操作大部份RSS。ROME可能是目前最完善的开源聚合工具，ROME支持绝大多数的RSS协议。依赖 <dependency> ...

07月12日12 views已关闭评论

阅读全文

SecIN安全技术社区

2023 阿里云CTF / AliyunCTF 部分WriteUp

引言阿里云CTF 2023 由阿里云计算有限公司与清华大学网络与信息安全实验室共同举办的网络安全赛事比赛时间：4月21日 21:00 - 4月23日 21:00，总计48h 热身赛：热身赛将于4月...

07月12日1 views已关闭评论

阅读全文

SecIN安全技术社区

某康威视iVMS任意文件上传复现

前两天某康威视被爆出了指定路径存在任意文件上传，复现了一下，确实存在，复现难度低；也算是一个在野漏洞，该文仅做复现，禁止用于违法犯罪行为哦！通过某搜索引擎搜索涉及的ip，得到页面：使用post访...

07月12日42 views已关闭评论

阅读全文

SecIN安全技术社区

一文带你理解AST Injection

模版引擎是什么 JS web开发中常用的模版引擎如 ejs、pug、handlebars 功能：动态渲染HTML代码，创建可重复使用的页面结构 ejs 模版使用 ``` // 安装EJS模块：npm ...

07月12日39 views已关闭评论

阅读全文

SecIN安全技术社区

用户名密码加密的页面爆破学习

前言目前越来越多的网站系统在登录接口、数据请求接口中加入各式各样的加密算法，甚至有些网站在每次请求前都动态请求加密密钥等措施，对接口渗透工作造成较大障碍，本文简单对登录接口暴力破解时字段被加密，如何...

07月12日19 views已关闭评论

阅读全文

安全文章

记一次对某企业的渗透测试

声明：本次演练中，所有测试设备均由主办方提供，所有流量均有留档可审计，所有操作均在授权下完成，所有数据在结束后均已安全销毁。前言某次攻防演练中，主办方只提供了目标企业名称，其他信息都需要自己收集，...

07月12日54 views已关闭评论

阅读全文

某次攻防演练中对任意文件读取漏洞的利用

CVE-2022-24481

深入解析pe结构（下）

翻译文章-BYPASS AMSI的详细指南

Ichunqiu云境 —— Endless(无间计划) Writeup

shiro550，看这一篇就够了

从Rome看二次反序列化

2023 阿里云CTF / AliyunCTF 部分WriteUp

某康威视iVMS任意文件上传复现

一文带你理解AST Injection

用户名密码加密的页面爆破学习

记一次对某企业的渗透测试

在线咨询

微信