0x01 前言 这是一款burp插件,用于Outlook用户信息收集,在已登录Outlook账号后,可以使用该 插件自动爬取所有联系人的信息 0x02 安装 在burp扩展面板加载jar即可 0x03...
02月17日33 views评论信息收集工具
数据包
一款OutLook信息收集工具
02月17日33 views评论信息收集工具
数据包
02月17日33 views评论信息收集工具
数据包
JAVA安全|Gadget篇:CC2 CC4链—Commons-Collections4.0下的特有链
0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识,构建自己的java知识体系,并实际地将java用起来,达到熟练掌握ja...
02月07日134 views评论apache
java
Java 反序列化取经路
Java 反序列化相关学习笔记、研究内容目录,持续更新ing... (注:其实这种调用链非常复杂的漏洞调试文章,写出来基本没什么用,写的都是谁调用了谁,怎么想办法让这个 if else 走到这个调用点...
01月01日安全博客26 views评论反序列化
序列化
CommonsCollections-CC1链分析
Collection在Java的集合中,主要有两种类型的容器,一种是集合Collection,用来存储单个元素,一种是图Map,用来存储键值对。像常用的ArrayList就是Collection接口的...
12月22日90 views评论list
string
Java审计之反序列化挖掘
前置知识首页你要了解什么是反序列化,需要用到哪些函数如下图java反射机制在反序列化中,反射必不可少让java具有动态性修改已有对象的属性动态生成对象动态调用方法操作内部类和私有方法在反序列化中定制需...
11月25日59 views评论java
反序列化
笔记-蓝队分析
分析免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.分析工具相关工具fireeye/capaYaraYARA 是一款旨在帮助恶意软件研究人员...
10月30日75 views评论malware
恶意软件
FOFA-IP采集工具
FofaCollection:一个基于FoFa Api 的PY脚本,用于收集url,简单操作解决你的困难环境和使用版本:Python 3.+这里需要安装requests库pip install req...
10月29日122 views评论collection
fofacollection
Django SQL注入漏洞(CVE-2021-35042)快速复现
前言:Django在2021年7月1日发布了一个安全更新,修复了在QuerySet底下的order_by函数中存在的SQL注入漏洞。正文:这里使用vulhub,不会的可以参考前文,选择目录然后启动:使...
10月29日52 views评论sql注入漏洞
注入漏洞
【神兵利器】两款Shiro反序列化漏洞利用Tools(附下载)
shiro反序列化漏洞综合利用 v2.2下载地址https://github.com/j1anFen/shiro_attack填坑,修bug。基于javafx,利用shiro反序列化漏洞进行回显命令执...
10月05日76 views评论反序列化
漏洞复现
【MongoDB】利用未授权访问和任意文件读取漏洞拖库及数据恢复
网安教育培养网络安全人才技术交流、学习咨询01 引言众所周知,由于BC网站的特殊性,其运维团队每天的工资开销可达数十万元,这次拿到授权后,前前后后利用不同的漏洞多次拖了库,但不出意外,漏洞很...
09月14日457 views评论任意文件读取漏洞
未授权访问
commons-collections反序列化利用链分析(3)
前边分析了CC1和CC2利用链,总体来说都是通过InvokerTransformer#transforme反射调用导致代码执行,但具体构造,先回顾一下CC1和CC2的思路。CC1新建一个map并绑定构...
08月28日23 views评论commons
反序列化
玩转ysoserial-CommonsCollection的七种利用方式分析
Author:Glassy@平安银行应用安全团队引言CommonsCollection在java反序列化的源流中已经存在了4年多了,关于其中的分析也是层出不穷,本文旨在整合分析一下ysoserial中...
07月27日93 views评论handler
ysoserial
8