由于微信公众号推送机制的改变避免错过文章麻烦您将公众号设为星标感谢您的支持!想要学习:【漏洞挖掘,内网渗透OSCP,车联网,二进制】的朋友欢迎加入知识星球一起学习。如果不满意,72小时内可在APP内无...
JumpServer部署指引
为细化公司员工通过VPN接入内网的权限粒度管理和统一运维入口。第一时间想到的就是开源的Jumpserver。废话少说,行动起来。以下是Jumpserver部署的操作指引,部署环境为ubuntu 20....
UXSS+FlashXSS+PDFXSS
PDFXSS-上传后直链触发1、创建PDF,加入动作JS使用迅捷pdf编辑器,设置一个打开页面运行js脚本的动作,保存下来2、通过文件上传获取直链找一个直链生成网站,上传pdf生成直链3、直链地址访问...
HTB-Appsanity笔记
扫描靶机nmap -sC -sV -sT -T4 -Pn 10.10.11.238扫描出一个meddigi.htb域名,写进hosts,只有80跟443端口,先看看内容这个一个在线预约医疗的网站,fu...
JAVA反序列化系列第一课:URLDNS链全解
哈喽小伙伴们,好长时间没有更新了,因为我们实验室的师傅们都比较忙,本人也刚转型去做数据安全方面,但是大家不用担心,建立实验室的初心我们会一直守护下去,那...
SpyNote:小心这个录音和记录通话的Android木马
The Android banking trojan known as SpyNote has been dissected to reveal its diverse infor...
【严重】 2023 HW HiKVISION 综合安防管理平台0day漏洞原理与POC
0x00 团队声明 Disclaimer该漏洞为我团队漏洞监测平台发现,仅供学习参考使用,请勿用作违法用途,否则后果自负。 0x01 漏洞概述 Vulnerability Overview 漏洞编号:...
漏洞预警 | Jenkins Plugin External Monitor Job XML外部实体注入漏洞
0x00 漏洞编号CVE-2023-379420x01 危险等级高危0x02 漏洞概述Jenkins插件External Monitor Job是一款可以监控外部执行的任务的插件。0x03 漏洞详情C...
Weblogic安全漫谈(四)
黑名单机制必然会推动两种研究方向的发展:一是挖掘不在黑名单的新组件,是为绕过规则;二是发掘检查的盲区,是为绕过逻辑。CVE-2020-14756二次反序列化具有对抗检查逻辑的天生丽质,在CVE-201...
java不安全的反序列化
什么是反序列化序列化,是指将内存中的某个对象压缩成字节流的形式,而反序列化,则是将字节流转化成内存中的对象。Java序列化和反序列化处理是基于Java框架的Web应用中比较重要的功能。因为在网络中,无...
RASP漏洞防御之 XXE 漏洞
简介当应用是通过用户上传的XML文件或POST请求进行数据的传输,并且应用没有禁止XML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞。XXE 漏洞在owasp202...
区块链安全学习 - Health Token
本文为看雪论坛优秀文章看雪论坛作者ID:Catsay攻击交易https://phalcon.blocksec.com/tx/bsc/0xae8ca9dc8258ae32899fe641985739c3...