源码 - 第 4 | CN-SEC 中文网

取证分析

站库分离取证手册：服务器镜像、数据库配置及网站还原指南

前言在数字化时代，技术持续进步使得网站的架构和部署方式不断演变。站库分离，作为一种新型的架构方式，已被众多大型企业所采纳，旨在提升数据的安全性。然而，这也给取证领域带来了新的挑战：如何快速而准确地对...

03月03日142 views评论

阅读全文

安全文章

渗透某黄色网站（源码泄露GIT）

1.信息收集找万能的群友拿到了一些瑟瑟网站。从中筛选了一些网站信息打点没有获取任何有用的信息，没用的倒是一大堆。服了！！！于是就用了一些源码泄露漏洞（我以为漏洞也测不出来，因为爆出来的漏洞都会...

02月28日39 views评论

阅读全文

代码审计

某CMS的通用漏洞挖掘过程 | 干货

前言本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复，请勿用于非授权测试！！！现在比较严格，目标名称均以某CMS指代，见谅。前言本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了，最近...

02月26日85 views评论

阅读全文

安全文章

TinyInst 的插桩实现原理分析

作者：0x7F@知道创宇404实验室日期：2023年10月17日 1.前言参考资料 TinyInst 是一个基于调试器原理的轻量级动态检测库，由 Google Project Zero 团队开源，支...

02月22日22 views评论

阅读全文

安全文章

跟随realworldCTF,做一个http网络协议黑客

前言本报告旨在对RealWorldCTF 2024体验赛中的Pwn方向题目——"Be-an-HTPPd-Hacker"进行深入解析和讲解。该题目涉及一个十一年前的项目，其基于C语言实现了HTTP协议...

02月21日9 views评论

阅读全文

安全文章

实战 | 记一次有趣的文件上传绕过getshell

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。...

02月17日14 views评论

阅读全文

安全文章

实战攻防-不一样的shiro

前言某次打点过程中,发现了不一样的shiro利用‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍ 资产收集 ‍‍ 目标根据给的靶标单位名称，域名、IP进行信息收集,进行常规信息收集多测绘平台搜索/...

02月08日22 views评论

阅读全文

程序逆向

调试实战 | 从转储文件找出抛出的异常

一理论篇缘起最近在分析转储文件时，遇到了一个由throw抛出的异常。尽管在windbg中使用!analyze -v迅速知道了异常码是0xe06d7363（对应的ASCII码是.msc），但是根据异常码...

01月21日30 views评论

阅读全文

移动安全

【微信小程序渗透测试】小程序抓包及反编译通杀方法，附漏洞挖掘案例

一、微信小程序抓包通杀方法工具：微信PC端+ Proxifier + burp burp设置监听本地8080端口，导出证书，双击并安装在本地计算机上双击安装选择本地计算机 Proxifier ...

12月29日232 views评论

阅读全文

程序逆向

AOSP源码定制-so注入并集成hook框架

AOSP源码定制-so注入并集成hook框架介绍最近研究so的hook相关，看到了一些文章，尝试配合修改系统源码进行so注入hook，配合sandhook框架对测试app进行hook。下面还是用AOS...

12月29日128 views评论

阅读全文

代码审计

实战|记一次前台getshell组合拳审计的完整过程

免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号亿人安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立...

12月22日42 views评论

阅读全文

安全文章

记一次简单的Phar反序列化的实战运用

在一次授权得渗透测试的过程中，一次简单的Phar反序列化GetShell过程扫描目录发现源码备份，下载源码，发现使用的是ThinkPHP 5.1.34 LTS框架通过APP、Public得到后台访...

12月20日24 views评论

阅读全文

在线咨询

微信