源码 - 第 4 | CN-SEC 中文网

安全百科

实战 | 通过文件上传绕过getshell

前言开始之前，先对环境进行一个简单的描述，由于这次目标单位属于传统行业，人员整体安全意识较弱，所以前期准备了邮件信息收集和钓鱼，另外不清楚目标服务器是不是做了特殊设置，邮件一直发不过去，之后对邮件服...

03月28日41 views评论

阅读全文

代码审计

SolarWinds Security Event Manager AMF 反序列化 RCE (CVE-2024-0692)

前言前几天刷推看到 ZDI 发了 SolarWinds Security Event Manager AMF 反序列化 RCE 的通告, 于是准备简单分析一下 https://www.zeroday...

03月06日65 views评论

阅读全文

取证分析

站库分离取证手册：服务器镜像、数据库配置及网站还原指南

前言在数字化时代，技术持续进步使得网站的架构和部署方式不断演变。站库分离，作为一种新型的架构方式，已被众多大型企业所采纳，旨在提升数据的安全性。然而，这也给取证领域带来了新的挑战：如何快速而准确地对...

03月03日154 views评论

阅读全文

安全文章

渗透某黄色网站（源码泄露GIT）

1.信息收集找万能的群友拿到了一些瑟瑟网站。从中筛选了一些网站信息打点没有获取任何有用的信息，没用的倒是一大堆。服了！！！于是就用了一些源码泄露漏洞（我以为漏洞也测不出来，因为爆出来的漏洞都会...

02月28日39 views评论

阅读全文

代码审计

某CMS的通用漏洞挖掘过程 | 干货

前言本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复，请勿用于非授权测试！！！现在比较严格，目标名称均以某CMS指代，见谅。前言本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了，最近...

02月26日89 views评论

阅读全文

安全文章

TinyInst 的插桩实现原理分析

作者：0x7F@知道创宇404实验室日期：2023年10月17日 1.前言参考资料 TinyInst 是一个基于调试器原理的轻量级动态检测库，由 Google Project Zero 团队开源，支...

02月22日24 views评论

阅读全文

安全文章

跟随realworldCTF,做一个http网络协议黑客

前言本报告旨在对RealWorldCTF 2024体验赛中的Pwn方向题目——"Be-an-HTPPd-Hacker"进行深入解析和讲解。该题目涉及一个十一年前的项目，其基于C语言实现了HTTP协议...

02月21日9 views评论

阅读全文

安全文章

实战 | 记一次有趣的文件上传绕过getshell

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。...

02月17日14 views评论

阅读全文

安全文章

实战攻防-不一样的shiro

前言某次打点过程中,发现了不一样的shiro利用‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍ 资产收集 ‍‍ 目标根据给的靶标单位名称，域名、IP进行信息收集,进行常规信息收集多测绘平台搜索/...

02月08日22 views评论

阅读全文

程序逆向

调试实战 | 从转储文件找出抛出的异常

一理论篇缘起最近在分析转储文件时，遇到了一个由throw抛出的异常。尽管在windbg中使用!analyze -v迅速知道了异常码是0xe06d7363（对应的ASCII码是.msc），但是根据异常码...

01月21日30 views评论

阅读全文

移动安全

【微信小程序渗透测试】小程序抓包及反编译通杀方法，附漏洞挖掘案例

一、微信小程序抓包通杀方法工具：微信PC端+ Proxifier + burp burp设置监听本地8080端口，导出证书，双击并安装在本地计算机上双击安装选择本地计算机 Proxifier ...

12月29日236 views评论

阅读全文

程序逆向

AOSP源码定制-so注入并集成hook框架

AOSP源码定制-so注入并集成hook框架介绍最近研究so的hook相关，看到了一些文章，尝试配合修改系统源码进行so注入hook，配合sandhook框架对测试app进行hook。下面还是用AOS...

12月29日132 views评论

阅读全文

在线咨询

微信