1 系 统 概 况 &nb...
ASP静态免杀方式研究
本文来自“白帽子社区红队知识星球”作者:Xx白帽子社区红队知识星球一个专属于红队的高级威胁技术研究星球01ASP 简介ASP即Active Server Pages,是Microsoft公司开发的服务...
常见直播平台直播流抓取
近年来,各种平台的直播日益火爆。在生活生产中,我们需要一些直播的场景。如将抖音、快手等平台的直播推流抓取,直接在网络播放器中实时播放。能否做到呢?和大表哥一起来研究吧!图片来源网络 如有侵权 请联系我...
# CobaltStrike beacon二开指南
CobaltStrike真好用啊,但是缺点就是太好用了被各类安全厂商严防死守,研究了半天shellcode loader和白加黑之类的免杀,多多少少都有翻车的记录,有没有更好的办法呢? 要不就自己从头...
智能合约安全之Re-Entrancy(重入攻击)
0x01 漏洞介绍近期在面向Web2到Web3的转型,当然对于红蓝对抗依旧是没有落下。web3不单是金融,运营,社交... ...还有对应的安全,钱包安全、智能合约安全等... ...我想接下来我会将...
复学/提高/理解/深入/中出SQL注入漏洞?XSS漏洞?这俩文章就够了!
基础技术再提高坚决做工具的玩物坚决做不懂原理的狗OWASP A1 - SQL injectionOWASP A2 - XSS Attack两个文档电子版PDF网盘链接后台回复”6你大弯钩“文中所有内容...
Bug Bounty Tips(10-26 2022)
Bug Bounty Tips(10-26 2022)Github ReconHeroku配置文件中敏感信息泄露cloud/heroku.json中包含了Heroku配置文件中敏感信息org:comp...
Jetty xml trick
前言 在8月份的时候在蓝鸟上看见有研究员分享一个关于jetty中间件下的上传xml来rce的trick,当存在一个上传漏洞且可以上传一个xml文件到web...
实战|记一次实战远程命令执行漏洞并提权
某站用友的命令执行漏洞,测试print hello发现可以执行命令whami 和id 都查一波权限,发现是root,权限这么大,很好搞啊ps -ef|grep sshd ...
Nacos接口未授权访问
写在前面 nacos项目常见漏洞,利用条件含量较低,简单记录一下。未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。目录0x01 Nacos简介0x02...
点击劫持攻击-攻击示例(上)
在本节中,将解释什么是点击劫持,描述点击劫持攻击的常见示例,并讨论如何防范这些攻击。如何构建基本的点击劫持攻击?点击劫持攻击使用CSS创建和操作图层,攻击者将目标网站合并为覆盖在诱饵网站上的ifram...
Sqlmap从入门到放弃 读这一篇就行了
本文将为你讲解SQLMap这个工具的详细使用和进阶玩法。sqlmap是一款自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库也比较多,如常...
5698