payload - 第 28 | CN-SEC 中文网

安全文章

从druid一路杀到云控制台

1.前言在挖某家SRC的时候，通过域名历史解析找到一个IP，然后通过各种问题组合接管云控制台，最后告知打歪了，今天分享一波。有点标题党了，这个流程实际上也不是很难（2.从druid入手拿到了一个历史解...

10月11日31 views评论

阅读全文

程序逆向

进程注入系列Part 1 常见的进程注入手段

本期作者/shadow 前言进程注入是一种众所周知的技术，恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下，恶意程序使用进程注入来动...

10月11日115 views评论

阅读全文

安全工具

免杀某60及Defender的小项目

好了废话不多说。最近看了很多github的免杀项目，也改了很多，这里简单分享出来一个改过的。目前是可以过360,Defender等等。这里生成分阶段的shellcode即可，将其名字命...

10月10日26 views评论

阅读全文

CTF专场

2023巅峰极客高校网络安全技能竞赛部分WriteUp

解题情况Misc：welcome、foundme、song（考点：base64编码，Netflix的文件格式加内存取证，deepsound音频加密加弱密码加ape文件格式）Crypto：数学但高中（考...

10月09日27 views评论

阅读全文

安全文章

nacos 身份认证绕过漏洞(QVD-2023-6271)

JWT（Json Web Token） 0x00 JWT构成 Json Web Token简称JWT，用做用户身份验证。那么其结构长什么样呢，下面我会通过一个例子去分析。 eyJhbGciOiJIUz...

10月09日59 views评论

阅读全文

安全工具

漏洞检测框架 - Meppo

01 项目地址 https://github.com/WingsSec/Meppo 02 项目介绍漏洞检测框架 Meppo，包括致远OA、 Drupal、泛微OA、Weblogic等漏洞【Payl...

10月09日33 views评论

阅读全文

通过链式攻击劫持会话获得$2500奖励

背景介绍：本文为国外白帽子通过利用XSS以及WAF绕过，配合SSTI从而实现任意用户会话劫持。废话不多说，进入正题！发现过程：挖掘过程像往常一样，开启Burp Suite并浏览所有网站链接，没一...

10月09日安全文章23 views评论

阅读全文

CTF专场

2024御网杯初赛 WP

前言经由该次CTF，参赛选手全体顿悟。不多评价，师傅们按需食用。正文WEBinput_data看到svn就想到.svn信息泄露，直接访问打开看到很多目录，逐个访问复现的时候发现打开就是flag，第一次...

10月09日57 views评论

阅读全文

安全工具

神机漏洞利用框架学习

项目地址：https://github.com/yhy0/ExpDemo-JavaFX一、建立漏洞框架使用IEDA打开项目，进入src/main/resources/fxml复制一个漏洞框架直接粘贴并...

10月09日28 views评论

阅读全文

安全文章

红队必备知识：哥斯拉流量魔改以及模板生成

JSP这是哥斯拉默认加密方法AES_RAW，加解密流程读取data-AES解密-AES加密-发送data其中的xc 也就是aes加密的密钥，就是哥斯拉pass+key的md5编码<%! Str...

10月09日37 views评论

阅读全文

安全文章

漏洞挖掘 | 通过错误日志实现XXE外带

扫码领资料获网安教程来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）介绍在最近的一个项目中，我发现了一个与 XML 外部实体（XXE）攻击相关的重大安全...

10月08日14 views评论

阅读全文

安全文章

编码绕过WAF

测试的环境后端环境WAF环境阿里云WAF[1]360磐云WAF[2]安恒明御WAF[3]测试的思路先在后端环境（DVWA）验证payload能否成功执行，不能为了绕过而绕过，选出25个真实有效的pay...

10月07日7 views评论

阅读全文

从druid一路杀到云控制台

进程注入系列Part 1 常见的进程注入手段

免杀某60及Defender的小项目

2023巅峰极客高校网络安全技能竞赛部分WriteUp

nacos 身份认证绕过漏洞(QVD-2023-6271)

漏洞检测框架 - Meppo

通过链式攻击劫持会话获得$2500奖励

2024御网杯初赛 WP

神机漏洞利用框架学习

红队必备知识：哥斯拉流量魔改以及模板生成

漏洞挖掘 | 通过错误日志实现XXE外带

编码绕过WAF

在线咨询

微信