原文链接:https://xz.aliyun.com/t/13711在某次项目中,首先是发现注入点,数据库是Oracle,利用方式是时间盲注:因为需要具体数据,所以要深入利用,手工肯定不方便,所以直接...
【鱼饵】使用link快捷方式钓鱼
首先我们来看这样一个信息:利用Shhhloader框架对俄罗斯汽车交易平台进行攻击,或与乌克兰IT网军有关猎影实验室,公众号:网络安全研究宅基地利用Shhhloader框架对俄罗斯汽车交易平台进行攻击...
防守实战-蜜罐反制之攻击链还原
一、蜜罐技术简介蜜罐技术本质上是一种对攻击方进行欺骗以及反制的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方...
SQL盲注-布尔+报错+延时
SQL-盲注&布尔&报错&延时知识总结查询方式增删改查这四种特性,有部分是不需要进行数据取出和显示的,所以此类注入基本上需要采用盲注才能正常得到结果(黑盒测试可以根据功能判断注...
巧妙方法抓取某商用红队扫描器的4000多个漏洞利用exp
Part1 前言 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!大家好,我是ABC_123,本期分享一个真实案例。大约在两年前,有机会接触到一台红队扫描器设备(也可以理解为渗透测试机器人...
【赏金猎人】缓存中毒XSS绕过waf接管帐户
一,什么是缓存中毒Web 缓存中毒是一种复杂的技术,攻击者希望利用 Web 服务器和缓存的操作向其他用户提供恶意 HTTP 响应。Web 缓存中毒有两个步骤。首先,攻击者必须弄清楚如何从后端服务器获取...
【Fastjson】- 初识Fastjson-1.2.24反序列化漏洞
前言本地环境搭建Fastjson 使用 将对象序列化为json字符串 将json字符串反序列化为对象反序列化漏洞成因及利用链 漏洞成因 TemplatesImpl 反序列化链 ...
YAUI Android 注入新玩具!
🎯 YAUI Android 注入新玩具!🚀 项目介绍🔥 迎接新时代的黑客神器——YAUI(Yet Another Unix Injector),一个专门为Unix系统设计的强大注入工具!这可不是你平...
Apache ActiveMQ远程代码执行漏洞
项目简介Apache ActiveMQ是最流行的开源、多协议、基于 Java 的消息代理。它支持行业标准协议,用户可以从多种语言和平台的客户端使用AMQP协议集成多平台应用程序。厂商信息https:/...
2023 ACTF writeup by Arr3stY0u
HEADERCTF组招新联系qq2944508194各个方向都有名额~REVERSEqemu1:import structfrom claripy import *enc_flag = [ 0xABA...
关于Goby反制上线CS中的各种问题
声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。前言Goby作为新一代网络安全技术,通过为目标建立完整的资产数据库,实现快速的安全应急...
泛微e-office download.php存在任意文件下载
扫码领资料获网安教程免费&进群本文由掌控安全学院- a530857523 投稿0x01 应用介绍泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品...
90