payload - 第 21 | CN-SEC 中文网

代码审计

24.学习ysoserial.net的plugins第三弹

（.NET反序列化今年没有多少篇啦，除开这篇后续的都挺有活的）1.SessionSecurityTokenHandler还是先来看一下这个的安全问题，在其ReadToken()方法中可以看到一个非常明...

12月09日16 views评论

阅读全文

安全文章

浅谈利用PDF钓鱼攻击

pdf文件是工作中最常遇到的文件之一。你可知，利用pdf文件攻击者可进行钓鱼攻击。本文为大家介绍其基本思路！注意事项注意：本文旨在演示攻击原理，让更多的人了解身边的网络安全，无任何指引。同时坚决反对危...

12月09日67 views评论

阅读全文

CTF专场

【PolarCTF】2024冬季赛Web方向Writeup

简单的导航站注册临时账户，查看所有用户源码中发现提示了密码Admin1234!尝试登陆爆破用户名使用P0la2adm1n和Admin1234!登陆发现是一个文件上传直接上传一句话查看flag下载下来逐...

12月09日57 views评论

阅读全文

安全工具

SuperMega：一款支持注入和加载的Shellcode工具

关于SuperMega SuperMega是一款功能强大的Shellcode加载工具，该工具不仅能够帮助广大研究人员实现Shellcode的自定义加载，而且还可以将其注入到可执行文件中执行进一步的安全...

12月08日17 views评论

阅读全文

安全文章

baijiacms漏洞验证

baijiacms后台RCE项目地址：https://github.com/baijiacms/baijiacmsV4版本：V4.1.4 20170105 FINAL 环境：php 5.5.38ngi...

12月06日31 views评论

阅读全文

安全工具

metasploit framework——简介

metasploit framework——简介前言每个渗透测试者的困扰需要掌握数百个工具软件，上千个命令参数，实在记不住新出现的漏洞 PoC/EXP 有不同的运行环境要求，准备工作繁琐大部分时间都在...

12月06日20 views评论

阅读全文

安全文章

针对某钓鱼网站的渗透测试

前言上个星期，QQ邮箱收到一封钓鱼邮件。但这已经不是第一次，大概两年前就遇到过一次，差不多一样的内容，这么说我还是他们的忠实客户？话说这火都烧到自己家门口了？或火上一次是拿下了后台，把数据全部清空了，...

12月06日18 views评论

阅读全文

安全文章

CobaltStrike专题 | CobaltStrike 代理的使用

声明：本人坚决反对利用文章内容进行恶意攻击行为，一切错误行为必将受到惩罚，绿色网络需要靠我们共同维护，推荐大家在了解技术原理的前提下，更好的维护个人信息安全、企业安全、国家安全。本次所使用的攻击机为k...

12月06日11 views评论

阅读全文

安全工具

WAF自动化绕过工具 x-waf

0x01 工具介绍一个基于fuzz的waf绕过测试工具，当前支持命令执行绕过。后续会支持更多绕过方式、攻击类型。 0x02 安装与使用 1、准备需要绕过的HTTP请求文件，例如：test.http ...

12月06日44 views评论

阅读全文

安全文章

哥斯拉源码解读+如何绕过waf检测

前言一个 webshell 工具核心无疑就是三点，webshell 生成，webshell 连接，webshell 利用，那为什么哥斯拉能够在 hw 期间沸沸扬扬，这里我们拆开他的源码来简单分析环境搭...

12月05日9 views评论

阅读全文

安全新闻

银狐黑产最新加载器利用破解版VPN为诱饵进行传播

安全分析与研究专注于全球恶意软件的分析与研究前言概述原文首发出处：https://xz.aliyun.com/t/16459先知社区作者：熊猫正正近日，笔者捕获到一例银狐黑产组织使用VPN破解版安...

12月04日12 views评论

阅读全文

代码审计

一文学会fastjson漏洞

目录漏洞简介fastjson是一个高性能的json解析器和生成器，广泛用于Java项目中。fastjson允许开发者自定义反序列化行为，以便可以根据json中的不同字段自动创建不同类型的对象。在Jav...

12月04日6 views评论

阅读全文

24.学习ysoserial.net的plugins第三弹

浅谈利用PDF钓鱼攻击

【PolarCTF】2024冬季赛Web方向Writeup

SuperMega：一款支持注入和加载的Shellcode工具

baijiacms漏洞验证

metasploit framework——简介

针对某钓鱼网站的渗透测试

CobaltStrike专题 | CobaltStrike 代理的使用

WAF自动化绕过工具 x-waf

哥斯拉源码解读+如何绕过waf检测

银狐黑产最新加载器利用破解版VPN为诱饵进行传播

一文学会fastjson漏洞

在线咨询

微信