gif - 第 2 | CN-SEC 中文网

$5,000赏金的rce漏洞附poc

CVE-2017-8291basecamp的用户资料图像上传功能有一个致命缺陷可以RCE，不仅是图像文件而且是postScript/EPS文件（改名为.gif）可以被接收。图像在服务器端被转换，这大概...

09月26日安全文章33 views评论

阅读全文

安全文章

Upload-Lab第17关：二次渲染技巧轻松绕过上传限制！

❝大家好！我是一个热衷于分享IT技术的up主。在这个公众号里，我将为大家带来最新、最实用的技术干货，从编程语言到前沿科技，从软件开发到网络安全。希望通过我的分享，能够帮助更多的小伙伴提升技术水平，共同...

09月26日74 views评论

阅读全文

安全新闻

利用Python启动远控，银狐对抗又升级

事件概述：近期毒霸安全团队再次检测到“银狐”变种大范围传播，主要途径来自于搜索引擎的广告页投放，页面仿冒其他公司的推广下载站，另一方面通过感染后的用户微信群发病毒文件，实现裂变传播。其中一个仿冒投放页...

09月25日172 views评论

阅读全文

安全博客

2019 defcon ctf 学习

菜鸡web手这场比赛全程挂机……web是真的越来越难打了 cant_even_unplug_it一题脑洞了2333题目+hint放一放12345You know, we had this up and...

08月18日23 views评论

阅读全文

安全文章

【漏洞实例】2400美元的命令注入

漏洞发现：我选择的目标是管理员登录页面，在检查Wappalyzer后，我注意到它是用PHP编写的。我首先想到的是在登录页面上测试SQLi，但没有成功。在下一步中，由于我们的目标有一个文档根目录，我开...

08月02日20 views评论

阅读全文

安全文章

从受限的上传漏洞到储存型XSS

说到文件上传漏洞，人们的第一印象通常是上传木马getshell。但是，在挖漏时很少碰到可以顺利上传木马的点，一般都是卡在某一步，然后不了了之。在本文，作者分享了如何从受限的文件上传漏洞转化为储存型XS...

08月02日33 views评论

阅读全文

HW&HVV

干货 | 红队多维度钓鱼技巧过程

前言因为最近一直在做项目太忙，自己公众号已经快一个月了没更新了，望各位师傅见谅！真的是太忙了，废话不多说，这篇文章主要带师傅们复盘除经典的exe安装包硬钓外，我们还有什么办法可以上线对面呢！以下实例讲...

07月30日92 views评论

阅读全文

安全文章

WhatsApp中的双重释放漏洞如何转变为RCE

演示步骤如下：0:16 攻击者通过任意渠道向用户发送GIF文件其中之一可以是通过WhatsApp发送文档（即按下回形针按钮并选择文档以发送损坏的GIF）如果攻击者在用户的联系人列表中（即朋友），损坏的...

07月30日18 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 资源推荐 2024-05-23 安全的文件解析器 Wuffs

上了年纪的读者对Stagefright这个臭名昭著（可能也帮多少白帽子刷爆了bounty？）的Android平台上的安全问题（嗯，不知道最后一共登记了几个CVE）应该有所耳闻。实际上从多少年前开始，用...

05月24日13 views评论

阅读全文

HW&HVV

【红队战法】多角度钓鱼

05月21日36 views评论

阅读全文

安全工具

BobTheSmuggler：基于HTML Smuggling技术创建包含嵌入式压缩文档的HTML文件

关于BobTheSmugglerBobTheSmuggler是一款专为红队研究人员开发和设计的Payload生成工具，该工具基于利用HTML Smuggling技术实现其功能，可以帮助广大红队研究人员...

05月16日19 views评论

阅读全文

CTF专场

2024年首届高校网络安全管理运维赛Writeup

Misc签到得到gif图片，分离gif，得到synt{fvtava-dhvm-jryy-qbar}再根据图片提示，rot13⼀下得到flag钓鱼邮箱识别Flag1base64解密发件人得到flagFl...

05月08日58 views评论

阅读全文

在线咨询

微信