payload - 第 44 | CN-SEC 中文网

安全文章

安全工具 | 一次改SQLMAP的操作

本文由掌控安全学院 - 楚留翔投稿前言 sqlmap这个工具，相信各位大佬们都不陌生，但sqlmap虽好，也时常会有些实际存在但无法注入的地方，这时候就需要我们改它的配置了，今天就以本人遇到的事件...

05月27日17 views评论

阅读全文

安全文章

实战 || 记一次某项目中奇怪的SQL注入漏洞

一、前言警告：本文中提及的漏洞已提交给相关机构，并在修复后予以公开。未经授权，严禁进行任何形式的渗透测试！切记遵守法律，维护网络安全！二、漏洞发现经过对...

05月25日23 views评论

阅读全文

安全工具

漏洞集合工具Hyacinth：Struts2、Fastjson、Weblogic 等

之前攻防的时候，总是需要打开多个jar包，觉得很麻烦，就做了一款集合工具。其中包含Struts2、Fastjson、Weblogic（xml）、Shiro、Log4j、Jboss、SpringClo...

05月25日57 views评论

阅读全文

CTF专场

2024WIDC WriteUp by SAINTSEC

Day1-嵌入式程序简单逆向逆向汇编代码得到加密逻辑为逐位将字符的ASCII码值加上3，再与9异或。将题目给的数据解base64后进行如上加密得到flag。b64_decode_str = "lx9b...

05月24日47 views评论

阅读全文

安全文章

菜鸡初玩-XSS数据接收平台

前言：某一天看到大佬一篇文章，大致内容是通过存储xss钓到了cookie然后伪造登录，其中一张图看到了图形化界面的xss利用平台，就上网搜了搜学了学便有了菜鸡的这篇文章.....分本地搭建环境和在线平...

05月21日28 views评论

阅读全文

安全文章

JSON Web Token（JWT）：安全的 Web 身份验证方法

在网站开发和现代验证领域中，安全性是最重要的考虑因素之一。开发者需采用有效的机制来保证在用户交互过程中数据的完整性和授权。JSON Web Tokens（JWT）作为一种认证和信息交流的安全方法，已广...

05月21日37 views评论

阅读全文

安全工具

Metasploit入门

Metasploit入门 msf 支持渗透测试参与的所有阶段，从信息收集到开发后模块在 /opt/metasploit-framework/embedded/framework/mod...

05月21日35 views评论

阅读全文

安全新闻

UTG-Q-010:针对AI和游戏行业的定向攻击活动

概述奇安信威胁情报中心在日常运营过程中发现客户收到了定向的中文钓鱼邮件，正文中逻辑清晰，使用互联网大厂的游戏招聘、AI技术等内容诱导目标公司的HR打开包含恶意lnk的加密附件，从而在内网中立足并寻求进...

05月21日120 views评论

阅读全文

安全漏洞

锐捷校园网自助服务系统SQL注入漏洞利用和密码解密

最近在打攻防，在内网遇到了锐捷RG 校园网自助服务系统，搜了一下发现有一个 MSSQL 注入，通过这个注入，拿到了这台服务器的权限。因此记录一下利用方式。漏洞利用首先这个系统是分两个端的SQL注...

05月20日379 views评论

阅读全文

CTF专场

UKFC2024 CISCN国赛WP

为积极响应国家网络空间安全人才战略，加快攻防兼备创新人才培养步伐，实现以赛促学、以赛促教、以赛促用，推动网络空间安全人才培养和产学研用生态发展，由中国互联网发展基金会网络安全专项基金资助，四川大学承办...

05月20日103 views评论

阅读全文

安全新闻

揭秘Flask Session伪造攻击

Flask的Session存储在客户端，并通过HTTP请求头的Cookie字段获取。值得注意的是，Flask仅对数据进行签名，而未进行加密。因此，在客户端可以读取Session的全部内容，这可能引发一...

05月20日20 views评论

阅读全文

程序逆向

一次简单的golang栈溢出

逻辑分析将附件拖入ida，根据字符串可判断为go语言编写的程序：动态运行发现是编写的一个简易shell，并且需要一个Cert才能正常工作：逆向golang程序时，ida反编译功能基本报废，最好的办法就...

05月19日10 views评论

阅读全文