声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文...
浅析Spring类内存马
Controller内存马环境搭建依赖<dependency> <groupId>org.springframework</groupId> <artifac...
黑客攻击 Apple - SQL 注入到远程代码执行
介绍在我们的上一篇博客文章中,我们深入研究了 Lucee 的内部工作原理,并查看了 Masa/Mura CMS 的源代码,潜在攻击面的巨大性让我们震惊。很明显,投入时间理解代码是有回报的。经过一周的探...
burpsuite_hack:SQL注入挖掘插件
介绍一款小众但是巨屌的SQL注入自动化判断工具。 作者已经用它挖了好多注入了,个人认为是xia注入的plus版。 该工具可以挖sql注入,ssrf。 这里主要介绍sql注入功能,全部配置好了最后只需要...
ctf工控 流量题
奇怪的声音 某工控环境中泄露了某些奇怪的声音,你能获取到flag吗?Flag格式为:flag{}。 给了一张jpg 直接binwalk ICS.mp3打开听一下就是无线电的声音,考虑SSTV来解,要安...
发现Burp Suite中的隐藏参数
点击上方蓝字关注我们摘要Burp Suite 的Param Miner扩展可用于自动发现 Web 应用程序中的潜在参数。参数通常是用于传递数据或配置信息的字段,它们可以在 URL 中的查询字符串、PO...
WordPress和Typecho xmlrpc漏洞
一般大家都关注WordPress,毕竟用户量巨大,而国内的Typecho作为轻量级的博客系统就关注的人并不多。Typecho有很多借鉴WordPress的,包括兼容的xmlrpc接口,而WordPre...
某众测前端解密学习记录
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
Src挖掘-某众测前端解密学习记录
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦原文链接:https://forum.butian.net/share/2889某次大型金融公司众...
el表达式注入漏洞
点击蓝字关注我们el表达式注入漏洞0x00前言 EL表达式在开发的时候学过,跟jsp一起学的当时那没有了解到后续的漏洞利用,但是现在转念一想也确实可以直接java代码那java的利用方式不在这个语法...
Tomcat 中间件漏洞复现
Tomcat PUT请求任意文件写入 (CVE-2017-12615)漏洞介绍tomcat的conf/web.xml配置文件中将readonly配置为false时,攻击者可以通过PUT请求上传任意文件...
wordpress 用户枚举,爆破工具
欢迎对该工具进行修改优化,转载请注明原作者,写代码不易。 为什么不用wpscan? 闲着蛋疼写着玩。 核心代码 12345678910111213141516171819202122232425262...
19