文件对话框文件上传对话框是一直以来就存在的网页控件。到了 HTML5 时代,增加了更多的功能,例如支持文件多选。Chrome 甚至还支持「上传文件夹」这一私有特征:<input type=&qu...
【漏洞预警】Zabbix Sia Zabbix访问控制错误漏洞(CVE-2022-23132)
01漏洞描述Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。它能监控各种网络参数以及服务器健康性和完整性的软件。zabbi...
一条网站攻击日志分析引发的思考
前几天发现自己的VPS服务器莫名其妙遭受一些漏洞利用的扫描事件,然后就抓个包看一下到底是个什么情况。抓到的数据包如下就是一些ThinkPHP5的远程命令执行漏洞,本来也很正常这种事情但是注意到这个pa...
赏金 | 苹果 Airdrop:隔空链接接管
开卷有益 · 不求甚解前言 在这篇文章中,我将介绍如何使用简单的符号链接来提取整个/private/var/mobile/Containers/文件夹。除其他外,此文件夹包含 iOS 应用程...
Phpwind GET型CSRF任意代码执行
0x01 后台反序列化位置首先纵览整个phpwindv9,反序列化的位置很多,但基本都是从数据库里取出的,很难完全控制序列化字符串。最后,找到三处:可恶的是,三处都在后台的Task模块下。Task模块...
利用社交账号精准溯源的蜜罐技术
简介蜜罐技术是一项已经产生很久的安全技术,普遍运用于情报收集、混淆黑客攻击面、拖延攻击时间。传统的蜜罐刻画的黑客肖像通常只能精确到一级ip,而通常黑客并不直接使用自身ip发起攻击,往往有设置了多层代理...
最新Linux挖矿程序kworkerds分析
0×00 背景概述近日,同伴的一台Linux服务器中了kworkerds挖矿程序,随即对挖矿程序进行了处理与分析。0×01服务器现状进入服务器之后通过top命令,没有发现有占用CPU资源过高的进程,随...
基于JS语义分析的Dom-XSS自动化研究
想给w13scan加入这个功能,快要下班了,就写篇文章简单说下目前的研究进展。起先想法很简单,通过一个敏感函数触发点回溯分析到能够利用的参数,目前写下来,解决最大的就是一些编程问题,没什么特别的算法,...
新手入门靶机BEE-BOX教程—第二章A5(六)
0x00 Preface [前言/简介]接着上一篇文章,更新BEE-BOX A5题目,有不理解这些靶机是哪儿的小伙伴或者查看以前的篇幅,传送门:https...
linux应急响应及安全巡检
Linux1.日志跟记录sshssh 后门 strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'历史命令记录histroy bash根据时间查...
Linux系统安全 | Linux系统登录相关
目录相关命令 who whoami who -b &...
WSH RAT分析
WSA RAT是2019年6月发布得一款新型RAT恶意软件,基于Java,wscript,具有盗取受害者敏感信息,控制计算机,上传下载文件以及执行特定命令等恶意行为。 样本信息 样本名称:Bestel...
17