API接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YApi 是...
VM/VM2沙箱逃逸笔记
什么是沙箱沙箱就是我们开辟出的单独运行代码的环境,与主机相互隔离,从而使得代码并不会通过变量的污染等方式影响主机上的功能,提升安全性。const vm = require('vm')global.a ...
js 逆向系列04-常见混淆原理
js混淆有两种:•变量•代码执行流程混淆代码的执行流程一般通过控制流混淆来实现,下面主要介绍一下常见的变量混淆方式。基本混淆方法将值放到新的变量中,再通过 window 来取:也可以结合 base64...
Java安全攻防之ActiveMQ从Broker到Consumer
前言上周ActiveMQ的漏洞利用已经有了多篇文章分析了,比较麻烦的在于公开的文章都是通过修改activemq代码实现的漏洞利用。所以我们也分析了这个漏洞,希望能够写出更加简单的exploit。漏洞分...
JAVA RMI 反序列化流程原理分析
扫码领资料获网安教程这篇文章主要用于学习 RMI 的反序列化利用的流程原理,在网上搜了一大堆的 RMI 利用资料,大多仅仅是讲的利用方法,没有找到到底为啥能这么用,即使有些涉及到一些原理的文章,也写得...
九维团队-红队(突破)| ActiveMQ RCE漏洞利用
零、介绍ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不...
YApi开放注册导致rce漏洞
漏洞简介 YApi是一个基于Node.JS开发的API管理工具。如果启用了YApi服务器的注册,攻击者将能够在Mock页面中执行任意Javascript代码。2021年7月7日互联网上披露YApi管理...
Apache ActiveMQ RCE漏洞复现(附EXP)
ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用...
Apache - ActiveMQ 5.18.2 远程命令执行漏洞
仓库:https://github.com/JaneMandy/ActiveMQExploit最近出了一个ActiveMQ 新漏洞,正好在参加活动的过程中,我们开发了一个相应的漏洞利用工具(Explo...
java代码审计必备技能之——Spring框架
1. Spring概述1.1 什么是SpringSpring作为一款轻量级开源框架,以控制反转(IOC)和面向切面编程(AOP)为内核.解决了开发人员在工作过程中遇到的许多常见问题...
来看一个有趣的XSS(二)
题解题解payload先放文末了,铁子们可以先自行尝试一下这个挑战,下面粘出题目源码,另存为html即可页面源码<!DOCTYPE html><html lang="zh-Hant-...
三分钟破译七天卷走过亿资金的钓鱼诈骗组织的关键加密js
在2022年5月,有一个网络诈骗组织通过以”发放工资补贴“的名义群发钓鱼邮件,在七天内狂卷过亿资金出境。详情请见搜狐中招钓鱼邮件诈骗攻击手法分析.当时我获取到恶意样本时已经是钓鱼最后一天,在进一步分析...