2021年所有文章 | CN-SEC 中文网

先知文章

记一次Office宏样本分析 - 0xNOPE

第一次分析Office类宏VBA病毒，做个记录。样本概况测试环境及工具运行平台：Windows 7 x64 进程监控工具：ProcessHacker 调试分析工具：powershell_ise、...

12月31日93 views评论

阅读全文

先知文章

.net反序列化之NetDataContractSerializer - Y4er

NetDataContractSerializer NetDataContractSerializer和DataContractSerializer同样用于序列化和反序列化 Windows Commu...

12月31日69 views评论

阅读全文

先知文章

一种新型Java一句话木马的实现 - yzddmr6

前言一直以来，Java一句话木马都是采用打入字节码defineClass实现的。这种方法的优势是可以完整的打进去一个类，可以几乎实现Java上的所有功能。不足之处就是Payload过于巨大，并且不像...

12月31日292 views评论

阅读全文

先知文章

LLMNR和NetBIOS欺骗攻击分析及防范 - 茶寂messi996

写在最前先知技术社区独家发表本文，如需要转载，请先联系先知技术社区或本人授权，未经授权请勿转载。 LLMNR和NetBIOS LLMNR的定义链路本地多播名称解析（LLMNR）是一个基于域名系统（...

12月31日61 views评论

阅读全文

先知文章

国外众测之密码找回漏洞 - 爱吃猫的闲鱼

前言最近一直在看国外众测的文章，偶尔也逛逛hackerone,发现公布的漏洞中存有不少的逻辑漏洞,毕竟在hackerone上提交漏洞过审之后给的是美元，还是很有诱惑力的。密码找回功能也是老调常谈的一...

12月31日74 views评论

阅读全文

先知文章

Windows权限维持总结 - SD

未经作者同意严禁转载！ 0x01 前言红队人员拿到一台主机权限后首先会考虑将该机器作为一个持久化的据点，种植一个具备持久化的后门，从而随时可以连接该被控机器进行深入渗透。通俗的说抓到一条鱼,不能轻易...

12月31日56 views评论

阅读全文

先知文章

.net反序列化之DataContractSerializer - Y4er

DataContractSerializer 使用提供的数据协定，将对象序列化和反序列化为 XML 流或文档，多用于序列化和反序列化 Windows Communication Foundation ...

12月31日39 views评论

阅读全文

先知文章

一次hvv打点和不断试错 - K1ey

前提起因没什么好说的拿到目标以后大概翻阅了一下各个行业的资产都有一般选择对医院或者学校进行打点因为一些边缘资产或者子目录网站有很大问题的存在目标www.xxxx.com 真实IP 139...

12月31日127 views评论

阅读全文

先知文章

浅入深出谭谈 HTTP 响应拆分（CRLF Injection）攻击（上） - WHOAMIBunny

前言前段时间遇到了几个使用 CRLF Injection 进行 SSRF 的题目，感觉十分有意思，便抽空自己研究了研究。 CRLF Injection 最大的用处便是任意插入恶意的 HTTP 头，甚...

12月31日113 views评论

阅读全文

先知文章

记一次Bypass国外杀毒的主机渗透经历 - 耳旁有首歌

一、外围入手拿到ip后先信息收集，扫描端口： 8087开放，访问：好，用脚本试试POST：好吧，暂且不管，试试8082：发现这个好，直接jboss，一般可先尝试弱口令后台部署war包，后门文件...

12月31日51 views评论

阅读全文

先知文章

.net反序列化之ObjectStateFormatter - Y4er

ObjectStateFormatter ObjectStateFormatter同样用于序列化和反序列化表示对象状态的对象图。实现IFormatter、IStateFormatter。微软官方文档...

12月31日55 views评论

阅读全文

先知文章

dedecms漏洞总结 - drunkmars404

前言本文将对dedecms(织梦cms)所存在的漏洞进行分析和复现，因为代码审计较弱，代码这一块的分析借鉴了一些大佬的思想，在这里对大佬们表示衷心的感谢。环境搭建下载DedeCMS源码放到php...

12月31日574 views评论

阅读全文

记一次Office宏样本分析 - 0xNOPE

.net反序列化之NetDataContractSerializer - Y4er

一种新型Java一句话木马的实现 - yzddmr6

LLMNR和NetBIOS欺骗攻击分析及防范 - 茶寂messi996

国外众测之密码找回漏洞 - 爱吃猫的闲鱼

Windows权限维持总结 - SD

.net反序列化之DataContractSerializer - Y4er

一次hvv打点和不断试错 - K1ey

浅入深出谭谈 HTTP 响应拆分（CRLF Injection）攻击（上） - WHOAMIBunny

记一次Bypass国外杀毒的主机渗透经历 - 耳旁有首歌

.net反序列化之ObjectStateFormatter - Y4er

dedecms漏洞总结 - drunkmars404

在线咨询

微信