0x00 TL;DRThis article documents how to use AWS SSM to execute remote script files at EC2 instances....
在线工具水坑攻击分析
0x01 事件概览 近期在进行数据base64解码时,在百度搜在线工具箱,捕获了一起利用flash版本过低为话术,诱导用户下载安装山东 固信合法终端控制程序进行水坑攻击的case. https://p...
应急响应分享 | 调查取证
1、读取PDF文件的元数据 虽然有些pdf文件的正文并没有任何有价值的信息,但是犯罪分子可能会忘记抹除pdf元数据,元数据为破案人员提供了足够多的信息来判断作者,文档创建时间,等等很有价值的信息。 读...
未知技术大揭秘,让XSS漏洞无处遁形!0x2
forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人01 通过SVG文件上传的存储型XSS 安全小白团 书接上回《未知技术大揭秘,让XS...
web 0day 大全(一)
SQL注入1.发生方式通过将恶意的DQL或者DML语句添加到应用的输入参数中,经过后端代码拼接成语句,再在后台数据库服务器上解析执行进行的攻击1.1典型案例布尔盲注时间盲注报错盲注联合查询1.2攻击方...
CVE-2018-17066复现(D-Link命令注入漏洞)
CVE-2018-17066漏洞概述:在该路由的前端页面中存在时间设置页面,但是我们手动输入的时间并没有被过滤,就会直接将数据传输到后端处理,经过一段函数调用后会将参数传入system作为参数从而实现...
某低代码平台代码审计分析
文章来源:奇安信攻防社区文章链接:https://forum.butian.net/share/2997作者:Qiu_某次项目中遇到的系统,发现还是开源的,于是就下下来小审一下,从权限绕过到getsh...
WAF Bypass
<details x=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx:2 open ontoggle="prompt(document.cookie);">...
CVE-2024-30056 Microsoft Edge(基于 Chromium)信息泄露漏洞
CVE-2024-30056 是一个关于 Microsoft Edge (Chromium-based) 的信息泄露漏洞。这个漏洞的重要性被评为 Important,最高安全性危险等级为 7.1,属于...
PhantomJS 图像渲染中的 XSS 漏洞升级为 SSRF/本地文件读取漏洞
我最近偶然发现了一个赏金计划的请求,该计划接受用户输入并生成一张图片供您下载。经过一番探索,我能够从图片内部的 XSS 升级到服务器上的任意本地文件读取。这是一个私人计划,所以我会尽我所能尽可能多地隐...
portswigger靶场-Lab21、9、22
本文知识点: (Lab 21)将 XSS 反射到带有尖括号和双引号的 JavaScript 字符串中 HTML 编码和单引号转义(javascript闭合,这里转义了')(Lab 9)将 XSS 反射...
XSS挖掘工具资源分享
XSS测试不同编码方式并检查是否存在任何奇怪的行为<"'`--!>如果反应为< %3c --> 测试双重编码https://github.com/InfoSecOne/g...
16