XmlSerializer 类 XmlSerializer是微软自带的序列化类,用于在xml字符串和对象之间相互转化。其命名空间:System.Xml.Serialization,程序集为:Syste...
巧用smb拿下不出网主机 - drunkmars404
写在最前 先知技术社区独家发表本文,如需要转载,请先联系先知技术社区或本人授权,未经授权请勿转载。 前言 之前在打一个域环境的时候出现了域内主机不出网的情况,当时用的是cs的socks代理将不出网主机...
谭谈 XSS 那些世人皆知的事 - WHOAMIBunny
[toc] XSS 简介 XSS,全称Cross Site Scripting,即跨站脚本攻击,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用...
.net反序列化之BinaryFormatter - Y4er
BinaryFormatter BinaryFormatter将对象序列化为二进制流,命名空间位于System.Runtime.Serialization.Formatters.Binary。微软文档...
利用HOSTS碰撞突破边界 - deep
引言 在渗透测试中,搜集了很多IP资产,端口也开放了WEB服务,但打开总是403 404 400错误,扫目录也扫不到东西。这时候可以尝试利用HOSTS碰撞技术突破其边界对其内网系统进行攻击。 0x01...
某OA接口绕过后任意文件上传分析 - spider
最近公开了某OA的任意文件上传POC,想着来分析一下,下面截图代码为github找到。 上传漏洞的利用接口如下所示: /weaver/weaver.common.Ctrl/.css?arg0=com....
记一次从盲SSRF到RCE - 爱吃猫的闲鱼
一 前言 发现此漏洞的漏洞赏金计划不允许公开披露,因此我不会直接使用涉及的系统名称。该项目是发布在Hackerone时间最长漏洞奖金最大的项目之一, Hackerone上有很多关于该项目的黑客事件。这...
520_APK_HOOK - CleverBao
520_APK_HOOK 介绍 将msf生成的payload,注入到一个正常的apk文件中,重新打包后进行加固,bypass手机安全管家的检测。 项目地址: https://github.com/cl...
dotnet serialize 101 - Y4er
dotnet-serialize-101 java太卷了,找点新的学习方向,从0到1学习dotnet的一些反序列化漏洞。 简述dotnet序列化和反序列化 同java类比,dotnet也需要对某个对象...
一起来拿cnvd原创漏洞证书——信息泄露篇(结尾福利) - 低调求发展潜心学安全
一、前言 做任何事情,付出就要有回报,这样才会有动力。而对于挖漏洞这件事情,回报其实就是获得证书和奖金了。今天我就来讲讲如何获得证书。发现很多师傅对cnvd证书的挖掘缺乏思路,明明已经学了很多知识,但...
Vulnstack内网靶场渗透记录 - 回梦
前言 这个靶场是红日的ATT&CK实战系列-红队评估(七) 链接如下:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 这个靶场兜兜转转弄了挺...
SOCasS(把SOC当作一种服务)的架构部署和技术漫谈-上 - raul
0x00 写在前面 原文是去年看到的系列文章,总共有8篇。文章详细介绍了SOCasS(SOC as a Service)的架构及相关部署方法。在国内,SOC的概念比较多见了——安全运营中心,很多安全厂...
26