fake | CN-SEC 中文网

安全工具

MySQL Fake Server【高级版MySQL_Fake_Server】

最近在护网演练里又碰上个头疼的活儿——甲方系统里有个老版本的MySQL驱动，每次渗透测试都得手动构造payload，结果上周发现个好东西，直接把效率提升了3倍不止。你们知道hvv期间最煎熬的是什么吗？...

05月01日9 views评论

阅读全文

安全文章

从JDBC MySQL不出网攻击到spring临时文件利用

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

04月28日14 views评论

阅读全文

程序逆向

从核晶入手浅谈一下syscall这块的攻防对抗

前言在hypervisor中,特别是安全软件的hv,接管syscall无非三种办法,MSR HOOK,EPT/NPT HOOK,EFER HOOK。本文来炒旧饭，对这些方法进行总结以及来说一下怎么检测...

04月25日13 views评论

阅读全文

安全工具

工具集：工具集：MySQL Fake Server【高级版MySQL_Fake_Server】

工具介绍高级版 MySQL_Fake_Server ：当JDBC URL可控时，特殊的MySQL服务端可以读取JDBC客户端任意文件或执行反序列化操作，工具完全使用Java实现部分MySQL协议，内置...

03月11日38 views评论

阅读全文

安全博客

Shadowsocks协议重定向攻击

Shadowsocks是一个基于SOCKS5的代理软件，其主要用途就不用解释了，其协议存在漏洞，可以通过重定向攻击解密shadowsocks数据包密文。以下总结参考自Zhiniang Peng的研究...

02月27日7 views评论

阅读全文

程序逆向

The House of Mind (FASTBIN METHOD) + PRIME

本文为看雪论坛优秀‍‍‍文章看雪论坛作者ID：jmpcall接着啃http://phrack.org/issues/66/10.html，前段时间在论坛发的The House of Mind（http...

02月20日10 views评论

阅读全文

安全文章

DNS投毒与利用

域名系统 (DNS) 通常被称为“互联网电话簿”，可将人类可读的域名（例如example.com）转换为机器可读的 IP 地址。虽然 DNS 必不可少，但它本身就容易受到多种攻击，其中最严重的攻击之一...

02月19日30 views评论

阅读全文

安全文章

不出网下的XSS回显和apache配置解析的利用

MysteryMessageBoard源代码main.go如下package mainimport ( "context" "fmt" "log" "net/http" ...

02月19日10 views评论

阅读全文

安全新闻

顶级恶意软件和勒索组织排排座

主要恶意软件家族箭头表示与上月排名相比的变化。↔ FakeUpdates—FakeUpdates（又名 SocGholish）是一种于 2018 年首次发现的下载器恶意软件。它通过被入侵或恶意网站的驱...

02月18日22 views评论

阅读全文

安全文章

一次通用cnvd案例分享

通用资产整体思路:1.提取相关系统指纹,例如路由器,监控等系统，例如规则列表等2.访问测试寻找功能点例如弱口令进后台进一步利用，或者未授权等等3.此案例为弱口令加JDBC漏洞利用本案例fofa资...

01月22日28 views评论

阅读全文

安全文章

Glibc2.34版本下的PWN攻击技巧

前言总所周知，我们在做堆题的时候经常是对堆的漏洞进行利用，最终的效果是改malloc hook或者free hook的地址为onegadget或者system的地址来拿到shell。这是因为在执行m...

01月09日6 views评论

阅读全文

程序逆向

分享一个简单且粗暴的白嫖某数据库管理软件的思路

起因七月份的时候换了M芯片的MacBook,从Intel换到M一开始确实是用不惯,包括之前经常用的破解软件都得重新找M系列专版的，所以一开始就秉着能白嫖就不花钱的想法去白嫖朋友的; 但是总有白嫖不到...

12月16日5 views评论

阅读全文

MySQL Fake Server【高级版MySQL_Fake_Server】

从JDBC MySQL不出网攻击到spring临时文件利用

从核晶入手浅谈一下syscall这块的攻防对抗

工具集：工具集：MySQL Fake Server【高级版MySQL_Fake_Server】

Shadowsocks协议重定向攻击

The House of Mind (FASTBIN METHOD) + PRIME

DNS投毒与利用

不出网下的XSS回显和apache配置解析的利用

顶级恶意软件和勒索组织排排座

一次通用cnvd案例分享

Glibc2.34版本下的PWN攻击技巧

分享一个简单且粗暴的白嫖某数据库管理软件的思路

在线咨询

微信