“A9 Team 甲方攻防团队,成员来自安信、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”0...
面试经验分享北京联通外包驻场面试
扫码领资料获网安教程免费&进群 ...
BurpSuite的被动式shiro检测插件 -- BurpShiroPassiveScan
一、工具介绍 BurpShiroPassiveScan 一个希望能节省一些渗透时间好进行划水的扫描插件 该插件会对BurpSuite传进来的每个不同的域名+端口的流量进行一次shiro检测,目前的功能...
记一次若依后台管理系统渗透
1. 前言最近客户开始hw前的风险排查,让我们帮他做个渗透测试,只给一个单位名称。通过前期的信息收集,发现了做个站点:{width="5.763888888888889in" height=...
记一次失败的钓鱼,成功的key
前言某次攻防演练中遇到几个oa系统,其中一个医院的oa系统还算有些意思。在此复盘一下。登录映入眼帘的就是一个登录页面。首先看到一处"忘记密码"的功能点,对此功能点抓包测试。以经验判断,只需要在填写任意...
Shiro到写入SSH公钥登陆
1.思路 Shiro命令执行(root)-内存马注入-getshell-sockes5代理-Xshell生成密钥-远程修改密钥失败-本地添加密钥-SSH公钥登陆 2.Shiro命令执行 某国外站点,外...
BlueTeam辅助工具箱含shiro解密、log4j2解密、冰蝎哥斯拉解密等功能(附下载)
Part1 前言 最近几年各种攻防演习比赛越来越多,网络攻击事件越来越频繁,各种加密变形的漏洞利用payload的出现,让蓝队分析难度也越来越高。在最近几年参加的几次蓝队分析工作...
浅谈Apache Shiro CVE-2023-22602
一、漏洞描述 Apache Shiro 是一个可执行身份验证、授权、加密和会话管理的 Java 安全框架。 由于 1.11.0 及之前版本的 Shiro...
渗透测试之地基服务篇:服务攻防之框架Shiro(总)
简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意:本文仅用于技术讨论与研究,对于所有笔记中复现...
Burp+浏览器插件与重点cms利用工具
Burp+浏览器插件项目简介项目地址项目名称有关burpsuite的插件(非商店),文章以及使用技巧的收集https://github.com/Mr-xn/BurpSuite-collectionsB...
教育实战 |某985任意文件下载
免责声明由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢...
追洞计划之渗透测试篇|Shiro反序列化
前言在渗透测试中,经常需要复现中间件、操作系统、Web组件、CMS等的历史漏洞。在对漏洞复现步骤和漏洞原理没有足够了解的情况下,直接打Exp,是存在一定的风险的,可能对生产环境造成一定的影响。通常的做...
32