fastjson反序列化准备1.marshalsec ---可用jar包 参考:github:https://github.com/Lead...
基于主机的反弹shell检测思路
零基础黑客教程,黑客圈新闻,安全面试经验尽在 # 暗网黑客教程 #一前言难免有时候网站会存在命令执行、代码执行等漏洞可能被黑客反弹shell,如何第一时间发现反弹shell特征,kill掉相应进程,保...
干货 | 命令执行漏洞和代码执行漏洞详解
点击上方蓝字关注我们1免责声明 本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法...
SystemedMiner再次更新,使用Socket5中转访问C&C
概述最近,深信服安全团队捕获到SystemdMiner挖矿木马最新变种,该家族在2019年被首次发现,起初因其组件都以systemd-<XXX>命名而得名,但慢慢的,它们开始弃用syste...
『渗透测试』使用 OpenSSL 反弹加密 Shell
点击蓝字 关注我们日期:2022-05-19作者:hdsec介绍:对反弹shell传输的数据进行加密。0x00 前言借用百度词条的解释,在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程...
Black Hat Asia 2022议题解读:Unix Domain Socket:安卓生态系统中通往权限提升的暗门
作者:柯懂湘、曲乐炜、闫晗、林道正Unix Domain Socket (UDS)是安卓中重要的本地进程间通信方式之一,其自身具备访问控制能力,可以安全地传递通信数据。但由于UDS服务通常不会和第三方...
Python在线编程的安全问题
看到某公众号提供"Python在线编写"功能,于是测试了几个函数.以下常规的都被过滤了os.systemos.popen subprocess commands然后试试os.popen2/3/4发现可...
Chunk-Proxy:仅需一条http请求创建的Socks代理隧道
简介分块传输编码(Chunked transfer encoding)是超文本传输协议(HTTP)中的一种数据传输机制,允许 HTTP 由应用服务器发送给客户端应用( 通常是网页浏览器)的数据可以分成...
【技术分享】圣诞前夕X-MAS CTF一道有趣的web+pwn
一、前 言最近空下来,做了一下X-MAS CTF的pwn题,题目质量很好,期间遇到一道web+pwn花了不少时间,主要从子进程调试、socket通信方面详细讨论如何解决这类基于socket服务的pwn...
由CVE-2022-21724引申jdbc漏洞
一、 CVE-2022-21724最近有人发文章分析了这个PostgreSQL漏洞,我很感兴趣但点进去却删除了文章,不得已只能自己来分析。先去cve网站上找这个CV...
虎符网络安全CTF writeup分享
比赛背景虎符网络安全CTF大赛在3月19号—3月20号已经落幕了,本次比赛斗哥一共派出了两只队伍参加,经过32个小时激战后成功杀进了决赛圈,分别获得企业队第六、第十六名的名次,总共攻破7道题目(4道M...
23