根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~0x01初始收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面...
PipeViewer - 显示有关 Windows 中命名管道的详细信息的工具
PipeViewer 是一个 GUI 工具,允许用户查看有关 Windows 命名管道及其权限的详细信息。它旨在为有兴趣搜索权限较弱的命名管道或测试命名管道安全性的安全研究人员提供用处。借助 Pipe...
一文读懂JNDI注入原理和利用方式
JNDI简介JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过...
JNDI注入
扫码领资料获网安教程免费&进群JNDI 简介展开目录什么是 JNDI 展开目录JNDI 是 Java Naming and Directory Interface(JAVA 命名和目...
Windows命名管道&getsystem原理学习记录
出品|博客(ID:moon_flower)前言以下内容,来自博客的moon_flower作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室...
利用空指针解引用LPE有可能实现吗?
我读过的很多博客文章都讨论了有趣的漏洞和漏洞利用,但作者们通常不会分享发现背后的过程。我想向大家展示一下,有时只要手动寻找一下就可以快速发现其他漏洞发现方法可能遗漏的漏洞。在我之前的博客中,我重点介绍...
通过模拟管道客户端提升权限
“声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!此外,文中所涉及的 Bug 在最新版本的 Windows 系统中均已修复...
SystemedMiner再次更新,使用Socket5中转访问C&C
概述最近,深信服安全团队捕获到SystemdMiner挖矿木马最新变种,该家族在2019年被首次发现,起初因其组件都以systemd-<XXX>命名而得名,但慢慢的,它们开始弃用syste...
代码审计-反序列化RMI分析
前言在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本篇文来分析一下RMI机制在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程...
Fastjson框架漏洞
目录0x00 Fastjson指纹0x01 FastJson简介0x02 fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)0x03 Fastjson 1.2...
G.O.S.S.I.P 学术论文推荐 2021-07-20
今天给大家推荐的是来自ICSE 2021的一篇调查软件开发中方法命名情况的文章——"On the Naming of Methods: A Survey of Professional Develop...
揭秘一场针对中东知识分子的“社工阴谋”,意图获取情报信息
一名疑似伊朗的国家黑客发动了一场复杂的社会工程攻击行动,通过伪装成伦敦大学东方非洲研究学院 (SOAS) 的学者来收集敏感信息,目标是中东地区的智库人员、记者和教授等。企业安全公司Proofpoint...