payload - 第 19 | CN-SEC 中文网

CTF专场

2024年广西职工职业技能大赛-ss0t战队wp

在2024年广西职工职业技能大赛中ss0t战队新一代取得了第一名的好成绩持续招新：对网络安全有着浓厚的兴趣，愿意为之努力。积极参加各类信息安全比赛，不畏困难重视团队精神，愿意把团队当作大家庭，能...

12月22日40 views评论

阅读全文

安全工具

一个灰常牛皮的全自动WAF绕过脚本

焚靖是一个针对CTF比赛中Jinja SSTI绕过WAF的全自动脚本，可以自动攻击给定的网站或接口，省去手动测试接口，fuzz题目WAF的时间。主要特性• 集成了大部分CTF中的SSTI WAF绕过技...

12月20日36 views评论

阅读全文

安全漏洞

Apache Struts RCE (CVE-2024-53677)，附多线程验证脚本+bp的poc

前言对目前的Apache Struts RCE (CVE-2024-53677)的poc进行总结，由于只能单个ip验证，所以自己更改一下代码，实现：多线程读取url验证并保存，更改为中文解释免责声...

12月20日32 views评论

阅读全文

安全文章

JavaScript 原型链污染学习记录

0> 原型及其搜索机制• NodeJS原型机制，比较官方的定义：我们创建的每个函数都有一个 prototype（原型）属性，这个属性是一个指针，指向一个对象，而这个对象的用途是包含可以由特定类型...

12月19日14 views评论

阅读全文

安全文章

【bWAPP】XSS跨站脚本攻击实战

别低头，皇冠会掉；别流泪，贱人会笑。0x01、XSS - Reflected (GET)Low输入的内容直接输出到页面中:后台服务端没有对输入的参数进行过滤, 构造一个注入xss payload即可:...

12月19日3 views评论

阅读全文

安全文章

隐藏有效负载：在图像文件中嵌入Shellcode

介绍在本文中，我将演示如何使用 Python 将 shellcode 有效负载隐藏在图像文件中，并使用 C/C++ 检索它。我将使用PNG 文件作为示例。PNG 文件使用IEND 块来标记图像数据的结...

12月19日26 views评论

阅读全文

安全开发

关于重启main函数学习分享

更多资料-持续关注微信公众号：鼎新安全0x01 前言在我做过的题目当中，遇到了这种利用方法，在一些场景中用这个方法会很方便，当然要根据题目来，有一些题目会给出libc链接文件，而不给的话就只够自己去泄...

12月18日9 views评论

阅读全文

安全文章

渗透测试中针对IPV6的攻击和利用

随着IPv6网络的普及。极大地方便了我们的工作。但同时也带来了相对隐藏的安全隐患。因此，本文从攻击者的角度演示IPv6在渗透测试中的利用，和如何防范相应的安全措施。信息收集及利用如何获取IPv6地址？...

12月18日49 views评论

阅读全文

安全开发

自制Python网络安全工具（2）【SQL 注入检测工具】【官网实时更新】

“ 欢迎访问我们的网站和关注我们的公众号，获取最新的免费资源、安全知识、信息流。网站：https://hackerchi.top 公众号：黑客驰 ” “ Python 网络安全工具，涵盖漏洞扫描、密...

12月17日13 views评论

阅读全文

安全文章

新型 DCOM 横向移动攻击，忘记 PSEXEC：DCOM 上传并执行后门

执行摘要本博客文章介绍了一种强大的新型 DCOM 横向移动攻击，该攻击允许将自定义 DLL 写入目标计算机，将其加载到服务中，并使用任意参数执行其功能。这种类似后门的攻击通过反转其内部结构来滥用 IM...

12月17日23 views评论

阅读全文

“DCOM 上传和执行”一种先进的横向移动技术

DCOM 上传和执行滥用 IMsiServer 接口的 DCOM 横向移动 POC https://www.deepinstinct.com/blog/forget-psexec-dc...

12月17日安全工具6 views评论

阅读全文

安全文章

CVE-2021-42342-GoAhead远程代码执行

漏洞背景 GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的嵌入式Web Server。GoAhead Web Server是为嵌入式实时操作系统（RTOS...

12月17日35 views评论

阅读全文

在线咨询

微信