__ | CN-SEC 中文网

安全漏洞

锐捷-EG易网关-branch_passw.php-远程命令执行 POC

漏洞描述锐捷EG易网关 branch_passw.php存在命令执行漏洞，配合锐捷EG易网关管理员账号密码泄露漏洞达到RCE控制服务器漏洞影响锐捷EG易网关 FOFA app...

01月27日53 views评论

阅读全文

CTF专场

PWN入门：误入格式化字符串漏洞

一格式化字符串介绍可变参数在常规情况下，C语言中函数接收的形参数量都是固定的，但事实上，C语言中函数接受形参的数量并不是必须固定的，也支持动态变化的形参数量。函数间传递可变参数时，基本的要...

01月18日3 views评论

阅读全文

CTF专场

记一次题型VM-软件系统安全赛-pwn-<vm>

记一次VM-PWN痛苦经历这是来自2025软件系统安全赛一道vm题型，由于全程只有5小时做题，在比赛期间打这个vm题眼睛都看花了，在比赛结束后总历时7小时才做完，能力还是太有限了。VM-PWN题这其实...

01月16日25 views评论

阅读全文

程序逆向

IDA 技巧(71) 反编译为调用

尽管 Hex-Rays 反编译器最初是为处理编译器生成的代码而编写的，但它在处理手写汇编时也能表现得不错。然而，这类代码可能会使用非标准指令或以非标准方式使用它们，这种情况下，反编译器可能无法生成等效...

11月10日18 views评论

阅读全文

CTF专场

2024网鼎杯白虎组WriteUP

刚结束了2024年网鼎杯白虎组，让我们一起回顾一下那些引人入胜的题目以及巧妙的解题思路吧！在今天的分享中，我们将深入探讨部分misc题目及其解答方法，希望能够为大家提供一些启发和帮助。MISCMISC...

11月01日245 views评论

阅读全文

程序逆向

伪装成向日葵安装程序的最新银狐样本分析

一、样本来源从某个模仿向日葵安装程序钓鱼页面获取到了一个银狐的样本下载之后得到如下exe程序通过威胁情报平台查询样本请求的域名可以得知这是银狐组织的投放的恶意文件二、样本基本信息文件名: s...

11月01日18 views评论

阅读全文

CTF专场

2024年“羊城杯”粤港澳大湾区网络安全大赛初赛—WriteUp By EDI

01 Web 1 Lyrics For You 读源码 /lyrics?lyrics=/usr/etc/app/app.py import osimport random from config.se...

08月29日67 views评论

阅读全文

CTF专场

CTF分享 | 命令执行-2

代码执行介绍代码执行与命令执行：代码执行介绍：当用户提交的参数被作为代码的时候，此时称之为代码注入。广义代码注入:覆盖大半安全漏洞分类，例如: SQL注入、XSS跨站等。狭义代码注入:动态代...

08月26日20 views评论

阅读全文

安全文章

挖掘 AI 聊天机器人工作流程中的RCE

本文笔者将介绍在一个流行的聊天机器人平台上发现的价值4位数$的远程代码执行问题，让我们开始吧。介绍：近年来，人工智能聊天机器人在各行各业越来越受欢迎，它们提供高效的客户服务，增强用户参与度，并简化...

08月13日72 views评论

阅读全文

CTF专场

PWN入门——金丝雀风波

栈上的缓冲区变量发生溢出时，可能会导致非预期情况（比如返回地址被劫持）的产生，进而导致一系列的安全问题。为了缓解该问题，Linux退出金丝雀机制Stack Canaries对栈进行保护，保护原理在下方...

07月12日73 views评论

阅读全文

IoT工控物联网

特斯拉上价值 10000 美元的 XSS 漏洞

我有幸尝试破解的有趣事物之一是特斯拉Model 3。它内置了网络浏览器，享有免费的高级LTE网络，并且支持OTA。这简直就是一个高速移动的联网计算机。年初，我买了一辆特斯拉Model 3，不仅开起来...

07月05日19 views评论

阅读全文

信息情报

【图像挖掘】挖掘一段TikTok视频拍摄位置

2024年5月5日，一个TikTok用户发布了一段视频，是在直升机上拍摄的一个油田。现在来挖掘这段视频的拍摄地点。从视频上可看到该TikTok用户的用户名是：@montgomery901 该用户简介是...

07月04日16 views评论

阅读全文

锐捷-EG易网关-branch_passw.php-远程命令执行 POC

PWN入门：误入格式化字符串漏洞

记一次题型VM-软件系统安全赛-pwn-<vm>

IDA 技巧(71) 反编译为调用

2024网鼎杯白虎组WriteUP

伪装成向日葵安装程序的最新银狐样本分析

2024年“羊城杯”粤港澳大湾区网络安全大赛初赛—WriteUp By EDI

CTF分享 | 命令执行-2

挖掘 AI 聊天机器人工作流程中的RCE

PWN入门——金丝雀风波

特斯拉上价值 10000 美元的 XSS 漏洞

【图像挖掘】挖掘一段TikTok视频拍摄位置

在线咨询

微信