分析工具 雷电模拟器9.0.77 JADX Reqable frida 分析思路 参数加密分析 使用Reqable对登陆抓包看请求参数发现有sign值,如何使用Reqable抓包,可以看这篇文章安卓渗...
百择唯供应链存在SearchOrderByParams SQL注入漏洞 PoC
1 漏洞描述 百择唯供应链存在SearchOrderByParams SQL注入漏洞,未经身份验证的攻击者通过漏洞,执行任意代码从而获取到服务器权限。 2 漏洞复现首页 需要注册账号,替换包内的Coo...
mugen凶恶研究(1)——%n和%f
1. 什么是mugenmugen是一个PC平台的格斗游戏引擎,许多国家的人为其制作或者移植了非常多的格斗人物,变成了一款及其罕见的超多人制作的大乱斗游戏。而又因为其win版主程序(2002发布)...
瑞友天翼应用虚拟化系统<=7.0.3.1
过程代码懒得贴了没有记录分析过程,笔记只有poc了,直接贴吧。POST /ExternalApi.XGI?key=inner&initParams=command_createUser__us...
第八届强网杯 - Write UP
本文章由团队师傅[ZDNWa2FXUnBhMlUlM2Q =]授权并发布PLANTFORM题解题目提示:所有人都能登录访问页面题目截图如上所示,使用账号密码dike/dike登陆平台查看源码dashb...
javasec | ofcms代码审计详细分析
扫码领资料获网安教程本文由掌控安全学院 - nn0nkey 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn)环境搭建首先去下载cms的源码,这里我...
【工具篇】Apache Shiro 反序列化漏洞检测与利用工具
工具介绍Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这...
瑞友天翼代码审计
1漏洞详情 一、7.0.3.1之前漏洞主要出现ConsoleExternalUploadApi.XGI接口出现漏洞的方法为getfarminfofromdb很明显的sql注入其中sign值是通过以下...
浅析SmartBi逻辑漏洞-3
浅析SmartBi逻辑漏洞(3)前言这个系列终于到了第三篇,指条路,如果忘记了可以再看看之前写的文章浅析Smartbi逻辑漏洞浅析Smartbi逻辑漏洞(2)之前我就曾在第二篇末尾提到过(没人继续深入...
浅析Smartbi逻辑漏洞
浅析Smartbi逻辑漏洞写在前面仅分享逻辑漏洞部分思路,全文以无害路由做演示,后续利用部分打码处理厂商已发布补丁:https://www.smartbi.com.cn/patchinfo分析最近可以...
记某次护网中对HIS系统的审计
1.前言最近在某次护网中,小队分到了一些医疗单位的靶标,小队师傅也是成功靠备份文件爆破手法找到了一个HIS系统的源码,为ASP.NET相关源码,恰好最近研究了很多.NET安全方面的知识,于是审计这块的...
【项目实战技巧】记一次项目中的天翼云短信接管
正文部分 渗透路径 渗透路径概述 通过js发现测试环境 --> 转到测试环境测试 --> 获取heapdump敏感信息 --> 获得数据库口令 --> 成果获取管...