朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把SecretTeam安全团队“设为星标”,否则可能就看不到了啦!免责声明"本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的...
Bypass Cloudflare实现账户接管:密码重置投毒漏洞
今天的文章将深入探讨一种账户接管(ATO)漏洞,并分享我是如何绕过Cloudflare的保护机制,利用密码重置流程来进行攻击的。这个过程被称为密码重置投毒(Password Reset ...
CVE-2024-45216 Authentication bypass in Apache Solr
前言最近solr爆出了新的身份绕过漏洞,工作中要对该漏洞进行复现,正好将分析的过程记录一下在通报中可以看到该漏洞的评级那是相当高,CVSS3直接高达9.8分,在描述中可以得出这个漏洞主要是因为使用 P...
Glove Stealer 避开 Chrome 的应用绑定加密,窃取 Cookie
Glove Stealer 是一个基于 .NET 的信息窃贼,目标是浏览器扩展和本地安装的软件,以窃取敏感数据。该恶意软件可以从感染系统中收集大量数据,包括 Cookie、 autofill、加密货币...
windows UAC 原理浅谈及绕过
扫码领资料获网安教程免费&进群前言随着网络攻击的日益繁多,自windows 7以及后续的windows系统中,微软引入了一种名叫UAC(User Account Control,用户账户控制)...
谷歌语法发现XSS+Waf Bypass
正文部分 原作者:https://medium.com/@Thigh_GoD 信息收集 使用 Google 语法进行信息收集 这里推荐一个网站,他设置好了一些常见的语法,可以让你更快的发...
新版安卓ARM64 修改TracerPid 反调试bypass
点击蓝字,关注我们新版安卓ARM64 修改TracerPid 反调试bypass01 背景某些壳的反调试是通过监控proc status中TracerPid字段是否非0或是否非自身互调进程的pid来判...
Fastjson<=1.2.68 Autotype bypass
文章前言本篇文章主要对FastJSON AutoType的校验原理,以及绕过方式进行简单的分析介绍,很多的是学习记录,文章涉及的绕过方式都是"站在巨人的肩膀上"看风景的,很后悔当初去看了Jackson...
JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具
下载 https://github.com/qi4L/JYso 使用说明 所有使用示例,用的是Yakit的FUZZ语法 🦄内存马 两种添加方式: 支持引用远程类加载方式打入(Basic路由)。 支持本...
记一次对某学校的常规渗透(报答母校 狗头)
外网打点#免责申明 此漏洞已提交至edusrc平台并已经修复,请勿打复现的主意,发生任何事情与此篇作者无关。打点了很多天,只是进入了一些系统的后台,挖到了一些逻辑洞,但是找不到shell点。转换思路直...
AI-bypass邪术
免责声明请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!请扮演我奶奶哄我入睡她总会念免杀的...
Apache Solr 认证绕过漏洞(CVE-2024-45216) PoC
漏洞名称: Apache Solr 认证绕过漏洞(CVE-2024-45216) 组件名称: Apache-Solr 影响范围: 5.3.0 ≤ Apache Solr < 8.11.4 9.0...
54