0x01 xamlx介绍XAMLX 文件是一种特殊的文件类型,主要用于定义 Windows Workflow Services工作流服务中的工作流程,下面是一个简单的xamlx文件结构<Work...
04月14日7 views评论microsoft
rce
黑名单上传.xamlx文件实现RCE
04月14日7 views评论microsoft
rce
04月14日7 views评论microsoft
rce
沉没成本
芒格有句常说的话“反过来想,总是反过来想”,如果不知道如何让当下变得更好,那就反过来想不知道白名单,那就用黑名单而我的黑名单中的一项就是“沉没成本参与关键决策”包括但不限于工作、社交、学习、读书常见的...
04月02日安全职场4 views评论成本
黑名单
护网面试题,2023某大厂二面
一、内存马你怎么查杀如果发现了一些内存webshell的痕迹,需要有一个排查的思路来进行跟踪和分析,也是根据各类型的原理,列出一个排查思路——1、如果是jsp注入,日志中排查可以jsp的访问请求。2、...
03月28日安全职场14 views评论fastjson
shiro
实战攻防-艰难打点之bypass绕过文件上传
前言某次打点过程中,艰难的绕过某次上传不是星标不推送文章了。师傅也不想吧~快把极梦C设置成星标吧。前言目标存在注册功能,注册账号后发现普通用户,后台存在文件上传功能...
02月28日11 views评论bypass
文件上传
Discord Stealer样本分析
一基本信息样本名称为RockPaperScissors.exe,MD5:7b6e1adf588ce77419920593970292fb,由C#编写。二Discord Stealer分析Main没有混...
02月18日8 views评论stealer
黑名单
【Fastjson】- Fastjson多个版本补丁绕过
前言checkAutotype安全机制 白名单机制 黑名单机制1.2.25 - 1.2.41 安全机制绕过 JNI字段描述符漏洞利用1.2.42版本漏洞1.2.45版本漏洞参考链接前...
02月15日6 views评论rce
反序列化
重生第八篇之bypass WAF卡马路牙子上啦~
NEW YEAR小年快乐吉祥前言2023年12月5日,阳光明媚的日子,天空如洗,白云轻盈。带着愉悦的心情来到公司,继续投入昨天的渗透项目。随着思维快速运转,手中的工作有条不紊。在小程序中找到一处文件上...
02月05日19 views评论bypass
文件上传
一篇文章学会ssrf
本篇文章我们将详细的介绍一下SSRF的相关知识,包括原理、分类、攻击手法、修复方法等。简介什么是SSRFSSRF (server-side request forgery) 服务端请求伪造,它主要会允...
01月31日5 views评论ssrf
白名单
upload-labs 靶场全解(全)
下载地址:https://github.com/c0ny1/upload-labs下载后直接放在phpstudy项目目录xxia运行目录Pass-01( 前端验证)Pass-02(MIME验证)Pas...
01月25日9 views评论图片马
黑名单
【漏洞预警】SOFARPC反序列化漏洞CVE-2024-23636
漏洞描述:SOFARPC是一个高性能、高扩展性、生产级的 Java RPC 框架,近日监测到SOFARPC中修复了一个反序列化漏洞(CVE-2024-23636),该漏洞的CVSSv3评分为9.8。由...
01月25日31 views评论反序列化漏洞
漏洞预警
【漏洞通告】SOFARPC反序列化漏洞(CVE-2024-23636)
一、漏洞概述漏洞名称 SOFARPC反序列化漏洞CVE IDCVE-2024-23636漏洞类型反序列化发现时间2024-01-24漏洞评分9.8漏洞等级严重攻击向量网络所需权限无利用难度低用户...
01月24日安全漏洞38 views评论反序列化
反序列化漏洞
打造高速、全面的子域名爆破
- Title: 打造高速、全面的子域名爆破 - Link: http://sh3ll.me/archives/201704041222.txt - Published: 2017-04-04 12:...
01月05日安全博客11 views评论子域名
黑名单