bytearray | CN-SEC 中文网

代码审计

记录一次攻防演练中的代码审计

文章来源：先知（Fright一Moch）原文地址：https://xz.aliyun.com/t/11411 0x01 第一天在一次授权的攻防项目中，我和我的一个好兄弟在渗透过程中发现一个目标存在...

01月13日22 views评论

阅读全文

安全文章

CVE-2024-22399 - SwingLazyValue利用链构造分析

前言通过Apache Seata Hessian反序列化漏洞（CVE-2024-22399）来分析一下该漏洞中所用到的SwingLazyValue利用链的构造过程分析过程序列化代码，将序列化后的数据保...

12月06日17 views评论

阅读全文

安全漏洞

XStream 二进制流驱动导致的堆栈溢出拒绝服务漏洞（CVE-2024-47072）

XStream 是一个流行的 Java 序列化库，广泛用于将对象转换为 XML 或 JSON 格式，以及从这些格式反序列化对象。XStream 提供了一个优化的二进制序列化格式，通过 BinarySt...

11月10日103 views评论

阅读全文

CTF专场

2024年羊城杯粤港澳大湾区网络安全大赛WP-MISC篇

hiden文本rot47后rot13, 使用python脚本逆推。import wavewith wave.open("hiden.wav", "rb") as wav_file: wav_da...

09月25日70 views评论

阅读全文

安全文章

Fastjson分析系列1.2.22-1.2.24反序列化漏洞分析

前言本文为Fastjson1.2.22-1.2.24反序列化漏洞分析。主要利用链分为基于TemplateImpl的利用链和基于JdbcRowSetImpl的利用链 TemplateImpl利用链 ...

08月18日12 views已关闭评论

阅读全文

CTF专场

2024年中国工业互联网安全大赛智能家电赛道选拔赛 by Mini-Venom

招新小广告CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 [email protected](带上简历和想加入的...

07月15日62 views评论

阅读全文

CTF专场

R3CTF r3gallery 题解

本题考点如下： canonicalPath路径穿越、file://前缀ftp协议利用反序列化触发getConnection derby-client jdbc任意文件写入比赛的时候卡在一个很蠢的问...

06月22日13 views评论

阅读全文

安全工具

Pip3line：针对RawBytes修改和拦截的「瑞士军刀」

关于Pip3linePip3line是一款针对RawBytes数据的安全工具，该工具不仅允许广大研究人员轻松查看和修改RawBytes数据，而且还可以对数据执行各种转换、快速源码搜索和网络代理拦截等。...

05月19日14 views评论

阅读全文

CTF专场

【靶场合集】CTF-NCTF 2023：Ezjail

声明：请勿将文章内的相关技术用于非法目的，如有相关非法行为与文章作者和本公众号无关。请遵守《中华人民共和国网络安全法》。0X01 题目 input_code = input("Please input...

01月03日58 views评论

阅读全文

CTF专场

华为杯研究生国赛 adv_lua

复现华为杯研究生国赛的adv_lua题目：从题目描述来看，漏洞应该和bytearray相关。用IDA逆向一下然后直接字符串搜索bytearray。只有这里有bytearray字样，继续查找交叉引...

12月16日45 views评论

阅读全文

CTF专场

CTFSHOW第三届愚人杯WP

0x01 MISC 1.奇怪的压缩包打开里面有个加密的black.png,猜测是zip伪加密，用010Editor等编辑器修改头尾两个0900为0000就能解除加密。解压出图片后还是不能正常打开，...

06月25日39 views评论

阅读全文

安全文章

实战|记记录一次攻防演练中的代码审计两起挖矿木马排查

第一天在一次授权的攻防项目中，我和我的一个好兄弟在渗透过程中发现一个目标存在mssql注入，通过注入拿到了管理员的账号和密码当时我和我的好兄弟高兴坏了，迫不及待的把拿到的数据进行解密（当时天真认为可以...

04月07日29 views评论

阅读全文

记录一次攻防演练中的代码审计

CVE-2024-22399 - SwingLazyValue利用链构造分析

XStream 二进制流驱动导致的堆栈溢出拒绝服务漏洞（CVE-2024-47072）

2024年羊城杯粤港澳大湾区网络安全大赛WP-MISC篇

Fastjson分析系列1.2.22-1.2.24反序列化漏洞分析

2024年中国工业互联网安全大赛智能家电赛道选拔赛 by Mini-Venom

R3CTF r3gallery 题解

Pip3line：针对RawBytes修改和拦截的「瑞士军刀」

【靶场合集】CTF-NCTF 2023：Ezjail

华为杯研究生国赛 adv_lua

CTFSHOW第三届愚人杯WP

实战|记记录一次攻防演练中的代码审计两起挖矿木马排查

在线咨询

微信