payload - 第 75 | CN-SEC 中文网

安全漏洞

【紧急预警】幕布笔记疑似存在RCE

Electron 是一个开源的跨平台框架，用于构建基于Web技术（HTML、CSS和JavaScript）的桌面应用程序。它由 GitHub 公司开发并维护，目前具有 108k star 由于 Ele...

07月10日166 views评论

阅读全文

大佬怒赚万$-通过GraphQL API实现存储型XSS到账户接管（ATO）的攻击

去年底在HackerOne的一次LHE（由于时间非常紧迫，这只在后面才变得重要），我在一个主要品牌的网站上发现了一个非常具有挑战性的漏洞，涉及多层利用，最终导致一个存储型XSS payload能够通过...

07月07日安全文章90 views评论

阅读全文

203hvv蓝队面试题，看完可去面试可用面经

护网蓝队（初级）主要是会看各种攻击payload，注意常见的payload 练习各种漏洞的利用方法，学会看利用漏洞的请求长什么样，payload长什么样，payload长什么样给个请求包，能不能认...

07月06日安全职场130 views评论

阅读全文

安全文章

畅捷通T+ 远程命令执行漏洞

漏洞简介用友畅捷通Tplus组件存在远程代码执行漏洞，漏洞威胁等级：高危，能造成远程代码执行。用友畅捷通Tplus存在前台远程代码执行漏洞，攻击者可利用GetStoreWarehouseByStore...

07月05日526 views评论

阅读全文

安全文章

php渗透备忘录

CVE-2012-2311_phpCGI远程代码执行漏洞漏洞说明用户请求的querystring被作为了php-cgi的参数影响5.0.0-5.3.115.4.0-5.4.1php5.4.2和php5...

07月05日49 views评论

阅读全文

CTF专场

简单的PWN学习-ret2shellcode

上篇文章有一个地方写错了，关于溢出的字符串为什么是32,而不是80，那里笔者理解有误，实际上溢出的原因是程序在开始的时候就给字符串设计了0x20个字符的堆栈空间，但是又没有设置边界结果导致溢出漏洞，上...

07月05日25 views评论

阅读全文

安全文章

Ueditor漏洞实战 | 安全研究

0x01 实战环境分享一个有意思的实战环境站点如上打完可以直接提交cnvd首先按照网上的poc来打然后框里填入你自己的vps地址发数据包意思说我url不合法呗，因为我有源码，我直接就去源码里全局搜索...

07月04日116 views评论

阅读全文

代码审计

FastJson1.2.80漏洞浅析

扫码领资料获黑客教程免费&进群随漏洞环境内容来自@浅蓝的HackingJson议题，本篇文章以理清漏洞思路为主，分为两部分来讲。以下是基于fastjson1.2.80 + ...

07月03日61 views评论

阅读全文

安全文章

红队工具研究篇 - SliverC2 Stager研究（下）

本文是上一篇的进阶研究部分，分别介绍三种更加高级的构造 Stager 方法，包括AES加密、使用PowerShell 反射式加载以及利用进程注入技术。其中在“快速上手”部分都给了完整代码，只要修改参数...

07月03日138 views评论

阅读全文

内网（笔记）-权限提升（续）

1、概述本篇文章续内网（笔记）-权限提升2、内容2.1 组策略首选项提权常见组策略首选项：映射驱动器（Drives.xml）创建本地用户数据源（DataSources.xml）打印机配置（Printe...

06月29日安全文章22 views评论

阅读全文

安全新闻

CNCERT：Diicot挖矿组织近期攻击活动分析

本报告由国家互联网应急中心（CNCERT）与安天科技集团股份有限公司（安天）共同发布。一概述近期，CNCERT和安天联合监测发现Diicot挖矿组织（也称color1337、Mexals）...

06月29日25 views评论

阅读全文

安全文章

一次实战不出网fastjson1.2.31

1. 信息收集和探测某次项目中很轻易挖掘了出fastjson的漏洞，但意外的发现目标既不出网也没有dns，因此实际利用过程中造成了很大困扰，没有任何提示只能盲打实在...

06月27日167 views评论

阅读全文

【紧急预警】幕布笔记疑似存在RCE

大佬怒赚万$-通过GraphQL API实现存储型XSS到账户接管（ATO）的攻击

203hvv蓝队面试题，看完可去面试可用面经

畅捷通T+ 远程命令执行漏洞

php渗透备忘录

简单的PWN学习-ret2shellcode

Ueditor漏洞实战 | 安全研究

FastJson1.2.80漏洞浅析

红队工具研究篇 - SliverC2 Stager研究（下）

内网（笔记）-权限提升（续）

CNCERT：Diicot挖矿组织近期攻击活动分析

一次实战不出网fastjson1.2.31

在线咨询

微信