今天,二维码广泛应用于零售、机场、酒吧、酒店、景点等日常场景,用于支付、认证和URL分享,但鲜为人知的是,貌似人畜无害的二维码正在成为黑客劫持手机和窃取数字身份的“物理木马”。 2023年,基于二维码...
通配符 Bypass
如果有 WAF 或过滤器来阻止 RCE 和 LFI,您可以通过 globbing 绕过它。/usr/bi...
BEC团伙使用谷歌翻译工具攻击高价值受害者
Abnormal Security安全公司近日发现了两个团伙在使用冒充高管的手段,对全球各地的公司实施商业电子邮件入侵(BEC)。第一个团伙Midnight Hedgehog(“午夜刺猬”)从事支付欺...
KernelSU 里面的救砖机制
KernelSU 里面的救砖机制最近经常有小伙伴问我,自己在 KernelSU 里面刷模块变砖了应该怎么办?其实这是个比较常见的问题,解决它的方法也有很多,考虑到不是所有人都知道,这里单独给大家介绍一...
新的网络安全BEC攻击冒充供应商
金融行业供应链攻击是商业电子邮件攻击(BEC)下面的一个子类,其手段似乎非常有效,似乎越来越猖獗。Abnormal Security近日发现了一伙恶意威胁分子——它称之为Firebrick Ostri...
如何进行有效的SQL注入挖掘而非打靶?
前言SQL注入的原理相信大家在初始学习中也是印象深刻,深刻到只会用工具去跑,即便如此我也相信原理啥的,你一看就会。我相信大多数的师傅对注入都是有一定程度的理解和心得,如果对SQL注入了解但是不够不深入...
某APP设备指纹AES加密算法分析
首先抓包请出今天的受害者直接base64解密下,发现能解开,得到如下结果可以看到里面一个字段ab是加密的,咱们今天就分析下这个ab参数是怎么生成的,使用jadx-gui打开app反编译后搜"ab"找到...
9 个日常实用 Shell 脚本,运维请收藏~
1、Dos 攻击防范(自动屏蔽攻击 IP)#!/bin/bashDATE=$(date +%d/%b/%Y:%H:%M)LOG_FILE=/usr/local/nginx/logs/demo2.acc...
One Way to Find Hidden IDOR Vulnerability
I received an invitation for an internal project, i found an interesting vulnerability in ...
[已修复]Alibaba Nacos to 认证ByPass漏洞,可导致RCE
Nacos是阿里巴巴2018年7月发布的一个产品,Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。
蚁剑绕过disable_function插件分析
前言:前几天看到了一篇关于绕过disable_function的文章,里面讲到了蚁剑disable_function绕过插件,于是就去尝试了一下,结果发现报错,无法上传代理脚本,特...
SQLi_Labs
欢迎关注公众号:24h进德修业。没有拿不到的权限,只有不努力的白帽。Less-1尝试添加’注入,发现报错这里我们就可以直接发现报错的地方,直接将后面注释,然后使用1' order by 3%23//得...