今天这个文章 比上两篇就稍微难了点,emm 代码也比之前多了点。列表ListView 列表TreeView 树列表TableView 表格TreeTableView 多列多表代码分析:首先就是使...
实战 | 记一次几乎不可能成功的文件上传利用
直接跳过弱口令来到文件上传阶段,情况是这个样子的,上传文件的地方,浏览点不开,还只能用谷歌浏览器才能登录,猜测是开发删除了 JS 上传的功能(只是猜测) 测试思路 当时又不想放弃这个上传点,只能强行分...
Five86-1靶机渗透记录
STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或...
渗透测试-条件竞争漏洞小结
介绍 条件竞争漏洞发生在多个线程同时访问同一个共享代码、变量、文件等,但没有进行锁操作或者同步操作的场景中。这个漏洞存在于操作系统、数据库、web 等多个层面,像有名的脏牛(dirty cow)。 条...
深入浅出云原生环境信息收集技术(二)
前言信息收集在攻击和防御两端都是非常重要的一环。从宏观的角度来说,大多数信息相关的工作都可以看作信息收集和信息处理交替进行的循环。优质的信息收集成果是后续工作顺利展开的首要条件。《孙子兵法》有云:故善...
httpx+naabu+nuclei大量资产极速漏扫
本文约2700字,阅读约需7分钟。 0x00 前言 某群老哥介绍的go语言三件套,针对上万资产快速漏扫组合,都是github上同作者的开源工具,可以魔改0x01 httpx 下载 源码地址,githu...
Linux提权(六)MYSQL UDF提权
漏洞说明UDF是mysql的一个拓展接口,UDF(User defined function)可翻译为用户自定义函数,这个是用来拓展Mysql的技术手段。用户可以通过UDF添加自定义函数,在sql语句...
Windows本地代码执行漏洞(CVE-2012-1876)x86/x64平台分析
本文为看雪论坛精华文章看雪论坛作者ID:ExploitCN一前言1.1 概述2012年,在Pwn2Own的黑客大赛上,来自法国的安全团队Vupen通过本篇的CVE-2012-1876漏洞,成功攻破wi...
原创 | ModSecurity 自建规则之路
简介 ModSecurity是一个开源的、跨平台的Web应用防火墙,它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。 ModSecurity有以下作用: SQL Inje...
从Git源码泄露审计到Getshell | DarkHole2
项目地址:https://download.vulnhub.com/darkhole/darkhole_2 复现过程:(两台主机 目标机器和攻击机器) sudo arp-scan -l #先进行主机...
云原生背景下的应用安全建设
文章首发于:火线Zone社区(https://zone.huoxian.cn/)大家好,我是徐越,今天分享云原生安全这个话题,云原生安全这个话题其实太大了,我之前所做的一些研究成果,主要是在应用层,所...
浅谈云原生环境信息收集技术
文章首发于:火线Zone社区(https://zone.huoxian.cn/)今天很高兴能够来到火线安全沙龙,与各位师傅一起讨论云安全、尤其是云原生安全的技术研究实践。我是来自绿盟星云实验室的安全研...
27301