string - 第 21 | CN-SEC 中文网

安全文章

看我如何从外网直接拿下内网靶标

作者：Bughunter，文章来源：先知社区1.拿到目标制定策略进行信息收集某地攻防演练拿到演习目标后，进行了一波常规信息收集，打了一个靶标。发现靶标分数有点高还是打靶标来得快，于是对所有靶标进行分析...

12月24日141 views评论

阅读全文

安全开发

SoapClient原生类在开发以及安全中利用

原创稿件征集邮箱：[email protected]：3200599554黑客与极客相关，互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬1Soa...

12月23日97 views评论

阅读全文

安全文章

【技术分享】在MSSQL中使用CLR组件提权

1CLR介绍Microsoft SQL Server 2005之后，实现了对 Microsoft .NET Framework 的公共语言运行时(CLR)的集成CLR 集成使得现在可以使用...

12月23日343 views评论

阅读全文

移动安全

某湃新闻APP之登录验证码下发短信分析

前言分析算法，这个事情...我发现了。是真上瘾...(PS：从某米应用商店下载了一整页的APP...)工具fiddler（抓网络数据包用）jadx-gui（APP反编译用）易语言（复现用）算法助手（可...

12月23日95 views评论

阅读全文

安全文章

【渗透测试】Blackhat 2021议题详细分析 ——FastJson反序列化漏洞及在区块链应用中的渗透利用

点击上方蓝字“Ots安全”一起玩耍How I Used a JSON Deserialization 0day to Steal Your Money on the Blockchain(FastJs...

12月22日310 views评论

阅读全文

安全开发

16 条 yyds 的代码规范

点击下方“IT牧场”，选择“设为星标”如何更规范化编写Java 代码Many of the happiest people are those who own the least. But are w...

12月22日100 views评论

阅读全文

安全文章

一个有点意思的以太坊智能合约蜜罐

本文转自先知社区：https://xz.aliyun.com/t/7225作者：啦啦0咯咯一篇以前写的文，现在修改补充了些许，发了上来前言以太坊中的智能合约蜜罐相对于互联网蜜罐的目的有着本质的区别：后...

12月22日127 views评论

阅读全文

代码审计

关于blackhat2021披露的fastjson1.2.68链

熟悉fastjson1.2.68反序列化的请直接看三。一、fastjson 1.2.68反序列化历史fastjson 1.2.68可以利用java.lang.AutoCloseable绕过checkA...

12月22日436 views评论

阅读全文

安全博客

fiddler script功能实战

某视频app发现有观影次数限制很是不爽；想通过分析数据包来看看能不能绕过限制使用fiddler包分析发现返回请求数据包都加密了 0x01 加密方式对每个字符进行异或混淆 1234567public...

09月14日60 views评论

阅读全文

MySQL安全加固实战

具体应对措施如下：1）对于SQL注入式漏洞解决方案是这样的在用户对系统进行操作时首先进行非法字符校验，因为系统已经上线不可能在对每一个SQL问做PreparedStatement处理所以我通过添加一...

09月08日安全闲碎32 views评论

阅读全文

安全文章

钓鱼文档碎碎念(一)

本文将简单介绍使用宏代码进行钓鱼的方法，并使其可以回连到CobaltStrike. CobaltStrike.自带有宏钓鱼功能。可以使用如下步骤进行创建：Attacks --> Packages...

07月12日105 views评论

阅读全文

代码审计

Java反序列化流程总结

0x01 写在前面同前一篇的分析方法一样，推荐复制demo代码，然后一步一步跟随笔者的分析进行debug调试跟随，这样跟能够帮助读者理解此文。0x02 流程分析在上一篇《序列化流程分析总结》一文中我...

06月14日118 views评论

阅读全文