资源劫持 对手可能会利用增补系统的资源,以解决可能影响系统和/或托管服务可用性的资源密集型问题。 资源劫持的一个常见目的是验证加密货币网络的交易并获得虚拟货币。对手可能会消耗足够的系统资源,从而对受影...
漏洞分析 | Tomcat Put文件上传漏洞详解
0x01 影响范围Apache Tomcat 7.0.0 - 7.0.790x02 环境搭建下载tomcat-7.0.50:https://archive.apache.org/dist/tomcat...
伪造 Kubernetes 审计日志
环境搭建kind 创建实验集群,audit_policy.yaml 需存放在物理机 /root/k8s_audit/ 目录下,yaml 内容如下,apiVersion: audit.k8s....
The Second Half of Cloud Computing
IntroductionCloud computing has profoundly reshaped enterprise IT. By adopting different kinds of cl...
Apktool任意文件写入漏洞分析 CVE-2024-21633
前置知识在复现该漏洞前,有必要了解Apktool和resources.arsc相关的基础知识,方便理解后续POC的构造。Apktool是一款流行的开源逆向工程软件,用于反编译和编译Android应用,...
子域名发现工具subfinder
subfinder是一个子域发现工具,它使用被动在线资源返回网站的有效子域。它具有简单的模块化架构,并针对速度进行了优化。subfinder专为做一件事而构建 - 被动子域枚举,并且它做得非常好。在获...
Typora 伪激活
关于Typora是一款轻量级的 Markdown 编辑器。它支持 Markdown 的标准语法,采用即时渲染、所见即所得的编辑方式,也可以随时切换至源代码编辑模式。Typora 支持插入图片、代码、数...
subfinder!快速被动子域枚举工具
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把...
RWCTF 2023 体验赛 Web Writeup
Real World CTF 正赛打不动了过来打体验赛 ( Be-a-Language-Expertthinkphp 多语言 rce (lfi + pearcmd) https://tttang.co...
红队网络基础设施建设
在设计红队的网络基础设施架构时,要考虑到否能够提供长期(数周、数月、数年)和稳定的响应服务。 设计注意事项 (Design Considerations) 功能分离 (Functional Segre...
记一次Apache某项目的漏洞复现与挖掘
前言 挺早之前有个Apache DolphinScheduler 任意文件读取漏洞,之前有看过这个,后面又有好兄弟问我,就研究了一下。本来简单的diff了一下,以为发现了问题,但是事情没有我想的那么简...
记一次过滤jsp的文件上传
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...