admin 发表的所有文章 | CN-SEC 中文网

移动安全

Android安全开发之ZIP文件目录遍历

作者：伊樵、呆狐、舟海@阿里聚安全 0x00 ZIP文件目录遍历简介因为ZIP压缩包文件中允许存在“../”的字符串，攻击者可以利用多个“../”在解压时改变ZIP包中某个文件的存放位置，覆盖掉应用...

01月10日117 views评论

阅读全文

search-guard 在 Elasticsearch 2.3 上的运用

Author：uni3orns 参考内容： http://kibana.logstash.es/content/elasticsearch/auth/searchguard-2.html https:...

01月10日安全闲碎58 views评论

阅读全文

安全文章

签名加密破除-burp插件在app接口fuzz中的运用

0x00 引子文章本是计划在五月完成，由于一直没有合适放出的案例导致此计划一直搁浅。巧遇乌云峰会puzzle，于是出了一道相关的题目，顺便放出此文以供大家交流学习。峰会题目地址传送门： http:...

01月10日89 views评论

阅读全文

程序逆向

用“世界上最好的编程语言”制作的敲诈者木马揭秘

你永远叫不醒一个装睡的人。但，快递小哥可以！虽说是一句戏言，但确实多少反映出了快递在大家心中的重要性。如果你收到一个带有快递公司发来的电子邮件通知，你会不会也希望快点打开看看是不是哪个朋友给你寄了什...

01月10日82 views评论

阅读全文

移动安全

“地狱火”手机病毒——源自安卓系统底层的威胁

0x00 背景近日，360安全中心收到多起用户反馈，手机中了一种难以清理的病毒，某些用户尝试自行清理掉病毒，发现删除病毒文件vold.apk后，会再次重现。通过分析，发现此病毒已经寄生到系统底层，定...

01月10日377 views评论

阅读全文

安全文章

"Hotpatch"潜在的安全风险

author:屎蛋@平安产品安全团队 0x00 “Hotpatch”简介 IOS App的开发者们经常会出现这类问题：当一个新版本上线后发现存在一个严重的bug，有可能因为一个逻辑问题导致支付接口存在...

01月10日51 views评论

阅读全文

CTF专场

ASIS2021 Final WEB WP

对asis此次比赛的赛题进行了复盘，其中有些新的知识点还是值得学习一下的。 0x00 Welcome 这道题是一道前端题，给了docker，比较简单。考点是replace函数的绕过trick以及goo...

01月10日69 views评论

阅读全文

安全工具

HTB: Arkham

Arkham是一个中等难度的靶机，但是它的难度可以和困难相媲美。其中涉及了lucks解密、JSF ViewState反序列化、ost邮件分析、UAC绕过等相关知识。ViewState反序列化漏洞让我学...

01月09日70 views评论

阅读全文

安全文章

渗透实战 | 迂回获取目标数据

0x00 前言好久没写实战了，今天给大家分享一下很久以前做过的项目。已知a系统的url，目标是拿到系统的数据和运营人员的身份信息。0x01 日志泄露首先观察系统的url：http://www.a.co...

01月09日190 views评论

阅读全文

程序逆向

栈溢出ROP利用基础（二）

[TOC]ROP_ret2text特征：执行程序.text代码段已有的系统函数调用。1，checksec查看下保护2，IDA查看源码或伪代码分析存在可调用的system("/bin/sh")函数可直接...

01月09日84 views评论

阅读全文

安全文章

▶【渗透实战系列】|38-对某色情直播渗透

免责声明：本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文中已注明出处，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！欢迎各位添加微信号:hackingheibaihong...

01月09日725 views评论

阅读全文

Goby探测siemens-PLC从信息收集到远程停掉设备

原文始发于微信公众号（）：Goby探测siemens-PLC从信息收集到远程停掉设备

01月09日安全文章108 views评论

阅读全文

admin

在线咨询

微信