声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
从应用层到MCU看Windows处理键盘输入
本文为看雪论坛优秀文章 看雪论坛作者ID:hyjxiaobia 几年前,想写一个关于ACPI协议的系列文章,并归档在<ACPI.sys,从Windows到Bios的桥梁>,但由于各种原因(...
铭飞MCMS 审计
铭飞MCMS是政府、教育等其他行业常用的CMS,应用广泛,但是底层的代码中仍然遗留不少的问题。这篇文章主要针对SQL注入进行审计并探讨如何快速定位SQL注入漏洞,以及其他工具的应用。 铭飞MCMS,是...
原创 | 某厂商数据库审计系统前台RCE挖掘之旅
点击蓝字 关注我们 在某次的HW行动中,遇到某目标单位的数据库审计系统开放到了公网上,在尝试了默认口令口发现可以进入到后台。但是只是进入后台不足以完成任务,于是就开始了此次对此数据库审计系统的RCE挖...
0x01 审计环境
铭飞MCMS是政府、教育等其他行业常用的CMS,应用广泛,但是底层的代码中仍然遗留不少的问题。这篇文章主要针对SQL注入进行审计并探讨如何快速定位SQL注入漏洞,以及其他工具的应用。 铭飞MCMS,是...
PHP开发服务器远程源代码泄露漏洞原理剖析
PHP Built-in Server是PHP自带的Web服务器,多用于在研发阶段快速启动并运行一个可以执行PHP脚本的Web服务器。由于其性能及安全性并没有得到完好的保障,故PHP官方并不建议在生...
从发现SQL注入到ssh连接
作者:Huck Lim声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。前言:某天,同事扔了一个教育站点过来,里面的url看起来像有sq...
利用Frida破解黑盒环境的Dex函数抽取壳
恭喜看雪论坛ID【飞翔的猫咪】获得看雪安卓应用安全能力认证高级安全工程师!看雪论坛作者ID:飞翔的猫咪题目出自看雪高研班2021年10月份作业第二题:函数抽取壳导致了被保护的函数始终运行在解释模式下。...
CTF 代码审计那些事
概述 VNCTF 2023来袭!癸卯之初,让我们“兔”飞猛进,再次相聚在VNCTF的舞台!在工作岗位一直担任开发的角色,做着代码审计的相关工作,新年伊始,打算辗转CTF比赛试试水,和大佬学习学习思路,...
微信小程序源码提取及反编译方法
本文仅用于记录自身学习过程。准备工具1、夜神模拟器2、node源码位置首先,存放各个小程序的源码位置,理论上只要你登录之后,挨个页面访问一遍,源码就会自动备份在一个目录下/data/data/com....
【实战】记一次由外挂站引起的代码审计
现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队“设为星标”,否则可能就看不到了啦! 前段时间的一天,我正在某安全群中吹着牛逼,突然好基友dd我,好家伙,原来是玩把游戏遇到大哥了。 ...
物联网安全网技术丨AFL源码分析系列(一)-- afl-as
我们将首先从 afl-as 开始,这里是AFL的源码插桩部分。理论上来说应该从编译入手会更递进一些,但是插桩是发生在编译的过程中的,而且AFL的编译内容较多,先了解插桩部分会有助于编译部分的逻辑理解,...
39