前言 平时买的一年服务器到期了,重新部署信息收集工具嫌麻烦咋整呢?所以我想单独写一份部署简单或者能直接运行的信息收集工具,正好团队师傅给了个golang写的轮子,我就照着轮子造工具就行了工具分子域名扫...
trojan多用户管理部署程序审计学习
最近看到大佬提的issue,正好学习下 https://github.com/Jrohy/trojan 指纹特征 1 2 3 4 /auth/check 路径会返回title值,可以用作指纹特征 {"...
漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题
原文首发在:奇安信攻防社区https://forum.butian.net/share/4164以go的gin后端框架为例子,详细剖析了各种逻辑越权漏洞的成因已经对应防范手段,也为白帽子提供挖掘思路并...
不出网下的XSS回显和apache配置解析的利用
MysteryMessageBoard源代码main.go如下package mainimport ( "context" "fmt" "log" "net/http" ...
Apache APISIX Dashboard 身份验证绕过漏洞 (CVE-2021-45232)
0x00 漏洞描述Apache APISIX 是一个开源 API 网关,该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框...
工具 | pfish
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介pfish是一款使用gin+gorm+grpc实现的一个无害化钓鱼平...
CVE-2021-45232漏洞分析
简介漏洞描述Apache APISIX是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Das...
2023 熵密杯
今天和同事组队“金盾检测”一起参加了在河南郑州举办的首届熵密杯线下赛,是之前没有接触过的闯关赛制,有点类似渗透,关卡之间环环相扣,也都和密码学应用紧密相关。不过很遗憾在之前的比赛中对国密的接触并不多,...
Nginx-Ul 任意文件写入漏洞分析与利用思路(CVE-2024-23827)
本文转自先知社区: https://xz.aliyun.com/t/13580?time__1311=mqmxnQiQG%3DDQDtGODlcIo0%3Dii%3DNC3fG7iD&alic...
VNCTF 2023 Web 部分 Writeup
VNCTF 2023 象棋王子右键查看源码得到 flag 电子木鱼main.rs use actix_files::Files; use actix_web::{ error, get, post, ...
2023 熵密杯
(把之前两篇文章合并了一下)8.10号和同事组队“金盾检测”一起参加了在河南郑州举办的首届熵密杯线下赛,是之前没有接触过的闯关赛制,有点类似渗透,关卡之间环环相扣,也都和密码学应用紧密相关。不过很遗憾...
Go语言特性引发的安全问题的思考
近来比赛中越来越多的go题目,所以最近在学习go方面的一些知识点,恰巧看到P神的讲到这个go语言的一些特性,这里简单复现一些并做一些记录。go语言的安全性相较于其他语言来说要安全很多,这对安全人员...