payload - 第 26 | CN-SEC 中文网

安全文章

XSS武器库：30款利器深度解析与实战指南（2024）

本文阅读大约需要45分钟；XSS攻击，作为Web安全领域的经典攻击方式，一直是红队成员的必备技能，也是我们渗透测试和攻击行动中的利器。回首近10年，我见证了XSS攻击的演变和升级，从最初简单的弹窗攻击...

10月31日49 views评论

阅读全文

CTF专场

2024第四届网鼎杯青龙组 writeup

WEBWEB02：访问该环境，登陆注册能随便登，会返回一个/content/hash作为路由，然后拿dirsearch扫一下只能发现一个flag路由，回显你是boss嘛？就想看其他无人机拟定执行任务？...

10月31日68 views评论

阅读全文

安全文章

聊聊在反序列化漏洞中如何找Gadget利用链

前言最近好像做了很长很长一场梦，梦醒了~免责声明:本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关。注意：本免责声明旨在明确指出，...

10月30日54 views评论

阅读全文

安全工具

Burpsuit插件集合，共31+

01Burpsuit插件集合 • TsojanScan(https://github.com/Tsojan/TsojanScan)：一个集成的BurpSuite漏洞探测插件，它会以最少的...

10月30日99 views评论

阅读全文

安全工具

npm 生态系统遭唯一执行链攻击

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士网络安全研究员发现针对npm生态系统的新型攻击活动，利用一个唯一执行链向目标系统交付未知的 payload。软件供应链公司 Phylum 在上周发布的...

10月29日17 views评论

阅读全文

安全博客

2022-CTF-Web

2022*CTF-Web写在前面XCTF国际赛系列一直不错，周末参与了下这次比赛，虽然没有Java但总体还是蛮有意思这里没按题目顺序写，只是写了在我心中从上到下的排序，对有源码的题目做了备份oh-my...

10月29日15 views评论

阅读全文

安全博客

浅谈Shiro550受Tomcat-Header长度限制影响突破

浅谈Shiro550受Tomcat Header长度限制影响突破0x00 写在前面写个shiro相关的东西，还是秉着写出来才能学的更多的理念，当然个人还是不太喜欢贴上整串代码，只是分享思路心得，在很早...

10月29日15 views评论

阅读全文

安全文章

【免杀】反射DLL过360

先看效果图十年前的老技术了，但可作为一个炮灰马上线，后续的操作仍然需要进行改良配置msf在生成客户端之前首先要将dll文件生成和msf的payload监听设置好msfvenom -p windows/...

10月28日24 views评论

阅读全文

安全漏洞

CVE-2024-9264｜Grafana SQL表达式允许远程代码执行（POC）

0x00 前言Grafana是一个跨平台的开源的度量分析和可视化工具，可以通过将采集的数据查询然后可视化的展示，并及时通知。用Go语言开发的开源数据可视化工具，可以做数据监控和数据统计，带有告警功能。...

10月28日395 views评论

阅读全文

代码审计

11.Json.Net反序列化点（前篇）以及XamlImageInfo、GetterSecurityException相关链

1.Json.Net的使用首先还是一个没有序列化特性的类然后进行序列化，注意这里的两个序列化操作，一个就是完全普通的序列化，还有一个在序列化时SerializeObject方法的第二个参数传入Json...

10月28日18 views评论

阅读全文

安全新闻

银狐黑产组织针对OKX数字货币交流群钓鱼攻击样本分析

安全分析与研究专注于全球恶意软件的分析与研究前言概述原文首发出处：https://xz.aliyun.com/t/15941先知社区作者：熊猫正正TG群、暗网是黑灰产的聚集地，也是钓鱼攻击的重灾区...

10月25日17 views评论

阅读全文

XSS武器库：30款利器深度解析与实战指南（2024）

2024第四届网鼎杯青龙组 writeup

聊聊在反序列化漏洞中如何找Gadget利用链

Burpsuit插件集合，共31+

推荐一款字典爆破工具 FuzzPayloadGennerator

npm 生态系统遭唯一执行链攻击

2022-CTF-Web

浅谈Shiro550受Tomcat-Header长度限制影响突破

【免杀】反射DLL过360

CVE-2024-9264｜Grafana SQL表达式允许远程代码执行（POC）

11.Json.Net反序列化点（前篇）以及XamlImageInfo、GetterSecurityException相关链

银狐黑产组织针对OKX数字货币交流群钓鱼攻击样本分析

在线咨询

微信