最近,我发现了几个看起来一样经过混淆的恶意 Python 脚本。它们最后都包含相同的字符串:eval(compile(base64.b64decode(eval('<hex_encoded_st...
10月19日71 views评论工具
攻击者
Python 混淆工具
10月19日71 views评论工具
攻击者
10月19日71 views评论工具
攻击者
Fastjson基本用法
扫一扫关注公众号,长期致力于安全研究前言:在分析其漏洞之前,应先对该应用有个基本的了解和使用。本文是笔者之前从网上搜到的资料..来自于Y4师傅0x01 简介Fastjson是Alibaba开...
10月18日62 views评论com
反序列化
RMI攻击Registry的两种方式
概述 RMI(Remote Method Invocation) :远程方法调用。它使客户机上运行的程序可以通过网络实现调用远程服务器上的对象,要实现RMI,客户端和服务端需要共...
10月18日23 views评论import
java
APP基于Frida脱壳
1.Hook OpenMemory的导出方法名适用于Android6、Android7、Android8、Android9的脱壳/data/lib/libart.sonm libart.so...
10月16日189 views评论android
string
动静态结合分析非标准MD5算法及还原
看雪论坛作者ID:小想法(题外话:恭喜看雪论坛ID:飞翔的猫咪,获得看雪安卓应用安全能力认证高级安全工程师!)第一题Cyberchef还原屏幕上显示的字符串的生成算法,点开apk是一串hex字符串。j...
10月16日91 views评论android
import
SQLi Dumper v9.7破解版,批量注入工具
####################免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开...
10月16日220 views评论path
string
RASP的安全攻防研究实践
戳上面的蓝字关注我吧!本文在2022-09-18首次投稿于凌日实验室,原文链接:RASP的安全攻防研究实践01前 言前段时间研究了一下JRASP的代码,在研究过程中看到了2022年Kcon会议上徐元振...
10月14日222 views评论net
string
0ctf2022 hessian-only-jdk writeup jdk原生链
周末和cx某人打了0ctf ,继hfctf2022 ezchain 找到rome二次反序列化链之后 ,hessian到挖jdk原生链了2333.环境 :只有 hessian 4.0.38 + jdk8...
09月29日160 views评论java
反序列化
干货分享 | XXE 漏洞任意文件读取利用方式汇总
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
09月26日339 views评论file
php
JAVA常用框架SQL注入审计
一、JDBC拼接不当造成sql注入 JDBC存在两种方法执行SQL语句,分别为PreparedStatement和Statement,相比Statement ,PreparedStatement会...
09月05日30 views评论name
sql
.NET WebShell 免杀系列Ⅱ之Tricks分享
0x01 背景.NET WebShell 绕过和免杀的方法系列第二季开始啦,接上季走硬刚Unicode编码绕过的方式Bypass主流的webshell查杀工具之后,本文介绍几种特殊的免杀和绕过技巧,有...
08月10日28 views评论file
name
记一次APP登录爆破
前言某次攻防演练中,在前期信息收集的时候找到了一款客户销售APP,没有注册接口,通过收集目标APP的内部员工手机号,对其进行口令爆破。使用工具安卓12jadx-gui抓取登录HTTP请求包安装burp...
08月06日53 views评论app
string
25