Reverse deeprev参考谷歌原题改动:https://ctf.harrisongreen.me/2022/googlectf/eldar/重定位表当字节...
干货|漏洞挖掘中RCE漏洞常用的Payload总结
关于远程代码执行的常用Payload(Unix 和 Windows)大家好,我是 Ansar Uddin,我是来自孟加拉国的网络安全研究员。这是我的第二篇 Bug 赏金文章。今天的话题都是关于 Rce...
x64dbg中的白加黑利用
0x01 何谓白加黑?在木马样本与杀毒软件的对抗中,再隐蔽的木马在被发现的那一刻,它的这一生就结束了。杀毒软件厂商通过SHA1/2、MD5等算法取得样本的唯一值来构建云端的特征库,当下一次攻击发生时,...
【漏洞复现】Fastjson系列
现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队“设为星标”,否则可能就看不到了啦!一、Fastjson概述Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析JSON...
Fastjson:我一路向北,离开有你的季节(下)
点击上方“蓝字”,关注更多精彩 bypass waf 近几年waf的是反序列化漏洞头号大敌,面对waf的封禁,我们又该何去何从勒? 利用Fastjson默认会去除键、值外的空格、b、n、r、f等特性,...
写作利器之Markdown套装(win+mac)
简述作为一名习惯使用Markdown写作的重度用户,并且经常有发布文章需求的作者来说,一套完善的写作发布套装就显得的很重要了。 所以就有了以下的使用体验,本文大概能解决的问题:1.由于网络问题或编辑器...
好文分享系列 || Thinkphp v6.0.13反序列化(CVE-2022-38352)分析
嗨,大家好,欢迎来到【好文分享系列】,不定期转载分享干货好文,让大家一起学习进步,一起卷起来。文章转载自先知社区,原文链接如下:https://xz.aliyun.com/t/12169(如有侵权,可...
Fastjson系列-漏洞复现
一、Fastjson概述Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java...
Linux下如何把项目设置为开机启动服务
我们公司的项目基本上都是安装在工控机上的,要能做到开机启动。昨天项目封包安装后要设置开机启动,下面说明如何设置开机启动的。一、chkconfig命令chkconfig命令主要用来更新(启动或停止)和查...
蓝军基础研判系列-实战流量分析(七)
题目地址:malware-traffic-analysis-2021-12-ISC-Forensic-Challengehttps://isc.sans.edu/diary/December+2021...
FastJson 1.2.25~1.2.47 修复及绕过
前言FastJson的后续版本修复以及绕过 1.2.25=< version <=1.2.47漏洞产生原因总结一下1.2.24的漏洞产生原因,type字段的特性会加载任意类(反序列化入口点...
JAVA安全|字节码篇:字节码文件结构与解读
本文为JAVA安全系列文章第二十三篇,学习掌握.class文件的结构,能根据文档对16进制字节码文件进行解读。0x01 字节码文件结构一、字节码文件java是一门跨平台的语言,我们使用ja...