invoke - 第 2 | CN-SEC 中文网

安全文章

域渗透 Kerberoasting 攻击

这篇博文中，我们将探讨在 Active Directory 环境中执行 kerberoasting 攻击的多种方法。首先，我们将简要了解 Kerberos 以及 kerberoasting 攻击的工作...

02月11日21 views评论

阅读全文

安全文章

Java XStream 反序列化：Gadget 挖掘思路分享

目录一、前言二、XStream简介三、历史漏洞四、Gadget挖掘思路五、总结一前言Java语言中最常见的一类漏洞就是反序列化漏洞，在各种数据格式到Java对象的转化过程中，常常...

02月11日23 views评论

阅读全文

安全新闻

沉默山猫（Silent Lynx）APT组织：针对吉尔吉斯斯坦及周边国家的恶意攻击

简介最近遥测发现一批东欧地区的样本，同时 Seqrite 实验室的高级持续威胁团队（APT-Team）最近披露了一个新威胁组织发起的两次新活动，将其命名为 “沉默山猫”（Silent Lynx）。该威...

02月11日41 views评论

阅读全文

程序逆向

浅析代码重定位技术

我将尽量用简单易懂的语言阐述清楚该技术要点，并且辅以相关代码示例帮助新手小白更好的理解。环境: Windows11 23H2编译器: ml.exe链接器: link.exe适用语言: 32位汇编一什么...

02月04日9 views评论

阅读全文

代码审计

Java安全小记-Commons-Collections1反序列化

TranformedMap复习一遍之前学过的，由于太过久远导致基本全部忘记了，还有就是当时的笔记记得太过于潦草导致根本没法复习。这次重新跟一遍cc1链。环境搭建具体搭建可以参考bilibili的白日梦...

01月02日5 views评论

阅读全文

安全文章

记一次powershell的免杀之路（绕过360、火绒）

记一次powershell的免杀之路powershell简介 powershell是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利用 .NET Framework的强大功能，PowerS...

12月28日10 views评论

阅读全文

安全文章

记一次国外红队大佬实战内网渗透测试骚思路【二】

买手作产品，送精品安全学习资源，有需要联系教父微信，购买后拉群汽车部件安全测试比特币密码破解研究最新CISSP题库国外经典攻防案例场景方案安全审计资料（甲方必备） AI结合网络...

12月20日13 views评论

阅读全文

安全文章

PowerShell 指北（宇宙超级无敌大黑客版本）

渗透测试中的 Powershell 基本指南 💻一、 Powershell 简介 ❓什么是 Powershell？ 🔍为什么在渗透测试中使用 Powershell？ 🛠️Powershell 的优势...

12月20日10 views评论

阅读全文

移动安全

安卓逆向某漫画软件去除签名校验+解锁

一、去除签名保护虽然换了很多名字，但是这个界面一直没变，老司机应该知道这是什么漫画软件。首先重签名，闪退。发现是so报错，定位到libfcore，用ida打开。还是老生常谈的方案，直接搜索signat...

12月17日13 views评论

阅读全文

CTF专场

从零开始学习反序列化：[NISACTF 2022] baby serialize 详解

这道题在NSSCTF平台上有原题打开题目，先找eval、flag这样的危险函数和关键字样，这里我们找到了eval，变量名是txw4ever。分析过程如下：因此我们的pop链为class NISA -&...

12月06日15 views评论

阅读全文

安全文章

CVE-2024-22399 - SwingLazyValue利用链构造分析

前言通过Apache Seata Hessian反序列化漏洞（CVE-2024-22399）来分析一下该漏洞中所用到的SwingLazyValue利用链的构造过程分析过程序列化代码，将序列化后的数据保...

12月06日16 views评论

阅读全文

安全文章

JDK7u21反序列化链

原理分析在JDK7U21这条链中首先内部下通过构造了两个对象，一个是恶意的TemplatesImpl对象，另外一个是一个Handler对象(AnnotationInvocationHandler)，通...

11月27日7 views评论

阅读全文

在线咨询

微信