本文为看雪论坛优秀文章看雪论坛作者ID:xianxiong这题应该是原本在攻防世界的,但由于近期改版,在平台未找到原题,笔者也是从别的帖子上下载的题目。一考察apk0、首先夜神模拟器跑看看,虽然无卵用...
NFC卡复制和修改
01为什么要研究NFC卡现在市面上很多的手表、手环和手机都具有NFC的功能。上周我也购买了个智能手表,心想既然手表有NFC功能,就想着把小区的门禁卡放到手表中,以后出入就不需要带门禁卡了,出门又能少拿...
攻击技术研判 | 利用内存信息对抗虚拟机分析
情报背景近期,CrowdStrike研究人员对GuLoader的木马演进进行了分析,Guloader是一个以文件下载为主要功能的恶意软件,常使用多态shellcode规避安全检测等,技术迭代快。该恶意...
cnvd-2017-02833漏洞复现
点击蓝字 关注我们FastjsonRCE-cnvd-2017-028330x01 影响版本影响版本:Fastjson1.2.24以及之前的版本0x02 环境靶场vulfocus 、Vps、window...
JAVA安全|基础篇:反射机制之常见ReflectionAPI使用
0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识,构建自己的java知识体系,并实际地将java用起来,达到熟练掌握ja...
2022安恒杯部分WP-Web篇
比赛概述总体上来说,比赛难度还是有的但是我自身的一些欠缺也是存在的,赛后复盘的时候发现自己在一些地方没注意,导致该拿的分数没拿到,这是真的非常可惜的ezphp2这是一道反序列化的题目,源码如下:<...
冰蝎(二)Java客户端实现
前言冰蝎解析(一)分析了Java服务端的具体实现,通过自定义类加载器ClassLoader.defineClass()实现将字节码加载至JVM中执行以达到执行任意Java代码的目的,那么接着上次的思路...
洞态 IAST 试用
0x01 前情提要 北京时间11点42分,正准备划 20 分钟水去吃午饭,园长突然跟我说过火线的 IAST 突然开源了,原名灵芝IAST更名为洞态IAST,真是OMG。 IAST 也是同样使用 age...
Java Instrumentation
一、前言 JDK 1.5 开始,Java新增了 Instrumentation ( Java Agent API )和 JVMTI ( JVM Tool Interface )功能,允许JVM在加载某...
Shiro反序列化无法加载数组类
在Shiro反序列化中,使用CommonsCollections6生成EXP会利用失败,从Catalina日志可以看到反序列化失败,提示Unable to load class named&...
服务器端模板注入(SSTI)-攻击示例(三)
在本节中,将更仔细地研究一些典型的服务器端模板注入漏洞,并演示如何来利用它们。通过实践,可以潜在的发现并利用各种不同的服务器端模板注入漏洞。一旦发现了服务器端模板注入漏洞,并确定了正在使用的模板引擎,...
33