admin 发表的所有文章 | CN-SEC 中文网

程序逆向

内存取证初探

0x00准备一般使用软件为volatility，kali自带，也可以到项目地址：https://github.com/volatilityfoundation/volatility下载安装0x01常用...

01月19日511 views评论

阅读全文

安全文章

WAF-Bypass之SQL注入绕过思路总结

过WAF（针对云WAF）寻找真实IP（源站）绕过如果流量都没有经过WAF，WAF当然无法拦截攻击请求。当前多数云WAF架构，例如百度云加速、阿里云盾等，通过更改DNS解析，把流量引入WAF集群，流...

01月19日261 views评论

阅读全文

CTF专场

倒计时3天 | 第四届 Real World CTF 国际网络安全大赛蓄势待发

原文始发于微信公众号（长亭科技）：倒计时3天 | 第四届 Real World CTF 国际网络安全大赛蓄势待发

01月19日169 views评论

阅读全文

安全文章

电子邮件地址有效载荷

点击上方蓝字“Ots安全”一起玩耍以下有效负载都是有效的电子邮件地址，我们不仅可以使用这些地址对基于 Web 的电子邮件系统进行渗透测试。XSS（跨站脚本）：test+(<script>a...

01月19日77 views评论

阅读全文

代码审计

前 25 个本地文件包含 (LFI) 参数

点击上方蓝字“Ots安全”一起玩耍以下是易受本地文件包含 (LFI) 漏洞影响的前 25 个参数的列表：?cat={payload}?dir={payload}?action={payload}?bo...

01月19日102 views评论

阅读全文

代码审计

前 25 个远程代码执行 (RCE) 参数

点击上方蓝字“Ots安全”一起玩耍以下是易受代码注入和类似 RCE 漏洞攻击的前 25 个参数：?cmd={payload}?exec={payload}?command={payload}?exec...

01月19日80 views评论

阅读全文

代码审计

探索高版本 JDK 下 JNDI 漏洞的利用方法

本文首发于跳跳糖社区，转载请注明原文链接。https://tttang.com/archive/1405/前言高版本JDK在RMI和LDAP的trustURLCodebase都做了限制，从默认允许远程...

01月19日90 views评论

阅读全文

代码审计

代码审计之Seacms前台Getshell分析

章源自【字节脉搏社区】-字节脉搏实验室作者-Beginners扫描下方二维码进入社区：0x01 Seacms介绍：海洋影视管理系统（seacms，海洋cms）海洋cms是基于PHP+MySql技术开发...

01月18日356 views评论

阅读全文

安全文章

这些基本的哥斯拉特征你都改了吗？

继续上一篇00x1 默认密码哥斯拉你难道也用默认密码吗？同样是有特征检测这里的！00x2 内置头部信息同样的内置信息你以为哥斯拉就没有吗？改掉改掉！00x3 需要二开的特征剩下的特征基本都需...

01月18日301 views评论

阅读全文

macOS 下如何优雅的使用 Burp Suite

本文始发于微信公众号（）：macOS 下如何优雅的使用 Burp Suite

01月18日安全工具194 views评论

阅读全文

安全文章

实战Nginx+lua 实现请求劫持

实战中遇到的其中一个小案例，比较简单，当时拿到了目标域名权限，目的是拿到shell，因为审计过代码，发现后台有上传，但没找到后台地址，最后利用此方法拿到了后台地址，账号密码，最后在后台拿到了shell...

01月18日1,100 views评论

阅读全文

安全闲碎

家庭安全checklist

互联网总是在不断的发展，今天的互联网比以往任何时候都要更好更强大，拥有更多的人参与且互相之间联系得更加紧密。随着越来越多的设备接入互联网，它也变得越来越复杂。如今互联网的基础设施，包括物理...

01月18日77 views评论

阅读全文

admin

在线咨询

微信