外网remember,shiro框架image-20250116221820181工具扫描看到heapdump,盲猜解密得到key,shiro一把梭image-20250116222109693ima...
逻辑漏洞挖掘案例
/*本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。*/补天某企业src33363338333733343...
轻松拿捏 加密站点的渗透测试
加密站点的渗透测试 在银行、保险、证券、能源、通信等行业的IT系统中,使用数据加密传输、API接口保护、关键参数签名防篡改等保护手段都是比较常见。开发人员应用这些手段和技术,能大大增加攻击者的攻击成本...
【JS逆向】前端加密对抗练习靶场encrypt-labs
前言文章首发于先知社区:https://xz.aliyun.com/t/16919项目地址:https://github.com/SwagXz/encrypt-labs作者:SwagXz现在日子越来越...
某违法视频app解密
一,工具jadxFiddler.exe二,分析流程1,播放视频播放app里视频(因为视频类容属于非法内容,所以打了很多码,请谅解),发现提示需要开通vip。开始抓包2,抓包(因为数据是https,设备...
SaltStack 的通讯及安全机制和CVE-2020-11651(身份验证绕过漏洞)分析(一)
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此...
Level II Challenges AES MRZ
Level II Challenges AES MRZ mysterytwisterc3 的一道 LVII 的题, 很是麻烦, 趁热记一波 题目地址 AES_MRZ 背景介绍 题目首先给了背景 ePa...
Burpy插件实战-某微信小程序加密算法破解
Author:0pening 1、前言对某微信小程序进行测试,不说多的,马上开动BurpSuite抓包。然而抓到包就发现不对劲🤨了。这货将传递的参数加密为bizContent,还有签名参数sign用来...
故障注入模拟(一)
1背景1、故障攻击是物联网有趣的攻击途径2、对于低成本设备,只有软件保护3、最近构建成本降低了很多2故障攻击干扰设备正常运行各种硬件技术允许还有一些软件或微架构方法:Rowhammer、LVI、V0L...
【免杀手法】红队免杀木马快速生成
项目介绍 助力每一位RT队员,快速生成免杀木马 https://github.com/wangfly-me/LoaderFly 开发需求 在HW/攻防演练等场景下需要快速生成免杀木马并且保证文件md5...
强网杯S8决赛PWN-赛题解析
heap附件下载(https://xia0ji233.pro/2024/12/08/qwb2024_final/heap_56fc53234d59e2df8d0d87941a8b8134.zip)环境...
JA4+:通过cookie和标头查找隐藏的C2服务器
黑客在C2服务器设置中的错误使得通过JA4H指纹分析找到他们成为可能,这大大简化了其他相关威胁的检测。了解 JA4H2024 年 11 月 26 日,Jon Altaus发布了一条推文,分享了 JA4...
26