声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文...
12月11日168 views评论弱口令
漏洞复现
【漏洞复现】JieLink+智能终端操作平台存在通用弱口令
12月11日168 views评论弱口令
漏洞复现
12月11日168 views评论弱口令
漏洞复现
微隔离环境bypass(rasp)
流量检测对于检测流量的,我们可以在rememberme里添加非base64字符如$,!这些进行绕过。原理:org.apache.shiro.codec.Base64;里面的解码有去除垃圾字符的作用(这...
12月10日44 views评论bypass
白名单
对某塔的一次随缘
微信公众号:[白昼信安]弱小和无知不是生存的障碍,傲慢才是![如果你觉得文章你有帮助,欢迎点赞]目录引言某塔资产收集漏洞一:白名单绕过信息泄露漏洞二: SSRF漏洞漏洞三: 百万级别商业数据泄露和人员...
12月10日33 views评论heap
白名单
关于软件正版化技术手段的讨论 | 总第220周
0x1本周话题话题:请教个问题,软件正版化这块有什么好的技术手段吗,如何排查哪些软件是违规的,不能用于商业用途?典型的比如之前免费的fiddler。A1:fiddler现在都在群发律师函,也担...
12月06日48 views评论白名单
黑名单
【内网渗透】Windows远程桌面利用
声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文...
11月30日24 views评论内网渗透
白名单
god_param v2
Part1 前言之前版本的god_param 没有指定域名,所以获取到的参数往往是多个网站的。一直懒得改,刚好昨天有身边的师傅在问我这个然后给我提bug,今天就直接改下。也有老哥给了建议增加控制按钮,...
11月28日13 views评论param
白名单
我的可信纵深防御建设实践总结
🍊 我的可信纵深防御建设实践总结这是橘子杀手的第 54 篇文章题图摄于:新疆·禾木好久不见! 我们在 22 年 11 月向行业公开发布了《数字银行可信纵深防御白皮书》,其实本文早在那个时候就...
11月27日25 views评论白名单
零信任
昱子的工具箱|利用微步社区做天然白名单且免杀的远控C2(支持手机电脑)
此文章是昱子师傅的投稿。昱子师傅,经常编写/魔改各种小脚本小工具,研究红蓝对抗,喜欢研究各种奇怪花活姿势。github地址:https://github.com/yuziiiiiiiiii...
11月22日37 views评论csrf
白名单
代码审计 | 一次白名单绕过分析
0X00 前言文件上传获取服务器权限,一般分为黑名单,以及白名单上传至于是否解析这就是后话了,其中黑名单,见名知其意不允许上传的文件后缀,主要表现于服务器不允许上传在黑名单数组内的后缀文件,主要探测手...
11月15日55 views评论中间件
白名单
hw打点之运气使然
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!0x01目标目标是一个登录的页面...
11月13日54 views评论白名单
红蓝对抗
文件上传后缀绕过总结
常见的一些脚本文件上传绕过后缀,包括白名单和黑名单,来源于互联网,仅供参考。在尝试过程中,可以通过黑名单绕过:不同脚本语言支持的解析后缀黑名单简单来说就是目标程序规定了哪些文件不能上传PHP脚本后缀绕...
11月08日39 views评论后缀
白名单
简单复习下JEP290
一、JEP290简介1.JEP290 JDK版本JEP290机制在2016年被提出,本身为Java9的特性,官方决定向下引进该增强机制,分别对6、7、8进行支持:8u121,7u131,6u141。2...
11月08日22 views评论反序列化
白名单
22