关于CVE-2020-1957 漏洞详情 前段时间Shiro发了个新的漏洞: 漏洞信息大概是,当Spring框架的动态Controller与Shiro结...
刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结
刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结 一.前言 双尾蝎APT组织(又名:APT-C-23),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域...
【恶意代码分析技巧】15-恶意代码常见驻留分析
前 言 恶意代码的一个重要功能就是要实现内存常驻,只要常驻内存,恶意代码就可以一直执行恶意行为,不会因为电脑重新启动、切换用户等原因停止。前文介绍的启动、Hook、注入中的很多技术都可以实现内存常驻,...
Oracle注入简单挖掘
注入类攻击作为OWASP top10的常客广为人知,其中SQL注入首当其冲。但是由于数据库繁多,MySQL、Oracle、DB2、SqlServer…..,各个数据库的特性不尽相同,导致各种注入利用手...
Java代审之SQL注入—SpringDataJpa
Spring Data Jpa简介 JPA(Java Persistence API)是一种Java持久化解决方案,负责把数据保存到数据库,实际上它就是一种标准、规范,而不是具...
对恶意软件Anubis的深度分析
译文声明 本文是翻译文章,文章原作者Orange Cyberdefense,文章来源:https://orangecyberdefense.com 原文地址:https://orangecyber...
bitbar 漏洞挖掘 实验
给的是一个比特币交易的网站,本地搭建环境之后开始按照文章中的要求来完成6次attack 网站源码和代码都放在这个仓库了 https://github.com/xinyongpeng/bitbar At...
Mini LCTF 2020 WP
Mini LCTF 2020是西电的招新赛,题目比较简单(假的),但对于本web菜狗来说也学到了很多,要经常提醒自己要多做总结,注意细节 include 打开是源码 ```php <?php e...
二次“登陆”导致的权限提升
“登陆”的实现 登陆功能应该是Web项目里见到的比较多的业务模块的,通常会跟session会话结合,完成对应的操作,常见的实现过程如下: session...
Use After Free 模式与案例分析
1. Use After Free的概念 Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: (1)内存块被释放后,其对应的指针被设置...
小议Mysql提权
本文将对mysql常见的提权方式进行讲解 mysql提权方式 mysql下常见的提权方法有: mof udf CVE-2016-6663 CVE-2016-6664 因为mof提权只针对低版本系统,故...
携Badusb进校园的系列测试
本文所用到的工具: Badusb Ngrok Arduino Msfconsole Msfvenom 迷你相机 0x01 蓄谋已久的前言 每次上楼时,都能看见广播室门开得非常宽, 但这不是重点,重点是...
76