payload - 第 54 | CN-SEC 中文网

安全新闻

【安全分析】详解黑产组织攻击样本的一些对抗技术

网安教育培养网络安全人才技术交流、学习咨询PART.01前言概述笔者针对黑产组织的一批攻击样本进行了详细跟踪分析，从这批攻击样本可以看出黑产组织一直在更新自己的攻击武器，里面使用了多个不同的对抗手法，...

02月22日55 views评论

阅读全文

代码审计

某CMS的通用漏洞挖掘过程（含freemarker模板注入利用）

扫码领资料获网安教程本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复，请勿用于非授权测试！！！现在比较严格，目标名称均以某CMS指代，见谅。前言本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写...

02月21日34 views评论

阅读全文

安全新闻

黑产组织攻击样本的一些对抗技术

安全分析与研究专注于全球恶意软件的分析与研究前言概述原文首发出处：https://xz.aliyun.com/t/13705先知社区作者：熊猫正正笔者针对某个黑产组织的一批攻击样本进行了详细跟踪分...

02月21日15 views评论

阅读全文

安全文章

渗透|记一次平平无奇的 Oracle 注入

原文链接：https://xz.aliyun.com/t/13711在某次项目中，首先是发现注入点，数据库是Oracle，利用方式是时间盲注：因为需要具体数据，所以要深入利用，手工肯定不方便，所以直接...

02月21日17 views评论

阅读全文

安全文章

【鱼饵】使用link快捷方式钓鱼

首先我们来看这样一个信息：利用Shhhloader框架对俄罗斯汽车交易平台进行攻击，或与乌克兰IT网军有关猎影实验室，公众号：网络安全研究宅基地利用Shhhloader框架对俄罗斯汽车交易平台进行攻击...

02月21日98 views评论

阅读全文

HW&HVV

防守实战-蜜罐反制之攻击链还原

一、蜜罐技术简介蜜罐技术本质上是一种对攻击方进行欺骗以及反制的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方...

02月19日80 views评论

阅读全文

安全文章

SQL盲注-布尔+报错+延时

SQL-盲注&布尔&报错&延时知识总结查询方式增删改查这四种特性，有部分是不需要进行数据取出和显示的，所以此类注入基本上需要采用盲注才能正常得到结果（黑盒测试可以根据功能判断注...

02月18日17 views评论

阅读全文

安全文章

巧妙方法抓取某商用红队扫描器的4000多个漏洞利用exp

Part1 前言由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！大家好，我是ABC_123，本期分享一个真实案例。大约在两年前，有机会接触到一台红队扫描器设备（也可以理解为渗透测试机器人...

02月17日21 views评论

阅读全文

安全文章

【赏金猎人】缓存中毒XSS绕过waf接管帐户

一，什么是缓存中毒Web 缓存中毒是一种复杂的技术，攻击者希望利用 Web 服务器和缓存的操作向其他用户提供恶意 HTTP 响应。Web 缓存中毒有两个步骤。首先，攻击者必须弄清楚如何从后端服务器获取...

02月16日22 views评论

阅读全文

代码审计

【Fastjson】- 初识Fastjson-1.2.24反序列化漏洞

前言本地环境搭建Fastjson 使用将对象序列化为json字符串将json字符串反序列化为对象反序列化漏洞成因及利用链漏洞成因 TemplatesImpl 反序列化链 ...

02月16日14 views评论

阅读全文

安全工具

YAUI Android 注入新玩具！

🎯 YAUI Android 注入新玩具！🚀 项目介绍🔥 迎接新时代的黑客神器——YAUI（Yet Another Unix Injector），一个专门为Unix系统设计的强大注入工具！这可不是你平...

02月16日12 views评论

阅读全文

安全漏洞

Apache ActiveMQ远程代码执行漏洞

项目简介Apache ActiveMQ是最流行的开源、多协议、基于 Java 的消息代理。它支持行业标准协议，用户可以从多种语言和平台的客户端使用AMQP协议集成多平台应用程序。厂商信息https:/...

02月16日27 views评论

阅读全文

在线咨询

微信