首先来到Greetings from the AWS Infiltrate Booth! 看说明,提示第三个Challenge是隐藏的
RouterOS SMB RCE CVE20187554 Analysis
在Finding and exploiting CVE-2018-7445这篇文章中,作者使用Mutiny Fuzzer,将对SMB服务发送的初始化数据包进行dumb变异,发现崩溃...
All About OSQuery (一)
OSQuery 是一款由 facebook 开源的,面向 OSX 和 Linux 的监控与分析工具。OSQuery 允许使用 SQL 的方式来获取系统的相关信息,比如正在运行的进程...
投稿须知
跳跳糖是一个安全社区,旨在为安全人员提供一个能让思维跳跃起来的交流平台。
Android安全开发之ZIP文件目录遍历
作者:伊樵、呆狐、舟海@阿里聚安全因为ZIP压缩包文件中允许存在“../”的字符串,攻击者可以利用多个“../”在解压时改变ZIP包中某个文件的存放位置,覆盖掉应用原有的文件。如果...
签名加密破除burp插件在app接口fuzz中的运用
文章本是计划在五月完成,由于一直没有合适放出的案例导致此计划一直搁浅。巧遇乌云峰会puzzle,于是出了一道相关的题目,顺便放出此文以供大家交流学习。
“地狱火”手机病毒——源自安卓系统底层的威胁
近日,360安全中心收到多起用户反馈,手机中了一种难以清理的病毒,某些用户尝试自行清理掉病毒,发现删除病毒文件vold.apk后,会再次重现。通过分析,发现此病毒已经寄生到系统底层...
公网开放的plc设备——一种新型的后门
本文主要是从工业控制网络必备的组件 PLC (可编程控制器)出发,阐明了一种新型后门的实现。本文主要内容是来自 BLACK HAT 2015 上柏林自由大学 scadacs 团队发...
渗透技巧——通过cmd上传文件的N种方法
在渗透测试的过程中,常常需要向目标主机上传文件,我在最近的学习测试过程中就碰到了这个问题,要求只能通过cmd shell向目标主机(Windows系统)上传文件,所以本文就对该技巧...
java反序列化工具ysoserial分析
关于java反序列化漏洞的原理分析,基本都是在分析使用Apache Commons Collections这个库,造成的反序列化问题。然而,在下载老外的ysoserial工具并仔细...
记一次内网渗透检测
朋友扔过来的一个公司,域名是aaainc.com,什么信息也没有。Google搜了下,只有主域名上面有个网站,还是托管在其他地方的,用的是开源的cms,没什么漏洞。
安全狗SQL注入、上传绕过-2017-3-23
作者是谁不清楚,看到群里分享出来的,所以转载到博客了。-----收集整理 by: www.nvhack.com
42