string - 第 5 | CN-SEC 中文网

程序逆向

溢出漏洞 | 缓冲区溢出漏洞与原理分析

01缓冲区溢出缓冲区溢出（Buffer Overflow）是目前非常普遍而且危险性非常高的漏洞，在各种操作系统和应用软件中广泛存在。利用缓冲区溢出攻击，可以使远程主机出现程序运行错误、系统死机或者重启...

07月29日0 views评论

阅读全文

安全文章

漏洞复现 CNVD-2021-30167 用友NC BeanShell接口RCE

0x01 漏洞描述该漏洞为远程命令执行漏洞，由于用友NC对外开放了BeanShell接口，攻击者可以在无需经过身份验证的情况下直接访问该接口，并构造恶意数...

07月27日687 views评论

阅读全文

安全文章

S2-062漏洞原理分析

S2-062漏洞形成的原因是struts在处理标签的name属性时，将用户输入当作表达式进行二次解释，导致OGNL表达式注入。和S2-061/S2-059类似，不过S2-061和S2-05...

07月27日219 views评论

阅读全文

程序逆向

X-AV Shellcode静态免杀框架

前言这是前几年写的一个小工具,不参加护网了,留着也没用,QWQX-AV是使用golang编写的一款shellcode混淆加载器，便于跨平台使用。技术原理比较简单,动态替换shellcode加载的模板,...

07月26日94 views评论

阅读全文

安全文章

OSCP-loly靶场攻防

环境说明使用了vmbox搭建nat模式，IP段为 10.0.2.0/24kali ip：10.0.2.15信息收集探测存活主机nmap -sP 10.0.2.0/24探测目标主机端口nmap -sV...

07月25日316 views评论

阅读全文

安全文章

入侵渗透测试&向日葵RCE漏洞复现分析

复现过程这里监视了检查接口、路由、接口这三个接口首先脱壳，向日葵加了UPX，upx -d脱掉可以向着今天的服务端口，找到 Sunlog 的 PID 在寻找端口即可登录服务向日葵在启动的时候会开启...

07月20日107 views评论

阅读全文

安全工具

万能网站密码爆破测试工具：BurpCrypto

内容来源：https://github.com/whwlsfb/BurpCryptoBurpCrypto是一款支持多种加密算法、或直接执行浏览器JS代码的BurpSuit插件。一、编译mvn pack...

07月20日94 views评论

阅读全文

代码审计

探索高版本 JDK 下 JNDI 漏洞的利用方法：第二章

0x00 背景我在前段时间写过一篇《探索高版本 JDK 下 JNDI 漏洞的利用方法》，里面例举了几种可以用作 JNDI 漏洞在Tomcat7和非Tomcat时的利用方法。其中提到NativeLi...

07月08日11 views评论

阅读全文

程序逆向

浅谈pyd文件逆向

浅谈pyd相关逆向 .pyd 文件本质上是一个包含 Python 代码的库文件，可以被其他 Python 应用程序调用和使用。通过使用Cython编译器，可以快速得把python文件打包为一个动态链...

07月06日176 views评论

阅读全文

代码审计

探索高版本 JDK 下 JNDI 漏洞的利用方法：第二章

07月06日17 views评论

阅读全文

安全文章

从代码层面分析域内LM | NTLM Hash的生成过程

"只有继续从容向前，才能不辜负那些在漫漫长夜中依旧褶褶生辉的旧时光" 本文作者：蛇皮怪怪概述本文章主要是从代码实现的角度，来对lm | Ntlm Hash的生成过程进行理解关于lm hash： ...

07月06日7 views评论

阅读全文

安全工具

ThunderSearch - GUI图形化渗透测试信息搜集工具

Intro介绍：调用ZoomEye的官方api(未来会支持更多资产搜索引擎)，开发的GUI界面的信息搜集工具。支持查询主机搜索、域名/IP、web应用搜索、个人信息支持读取config.json文件进...

07月02日53 views评论

阅读全文

溢出漏洞 | 缓冲区溢出漏洞与原理分析

漏洞复现 CNVD-2021-30167 用友NC BeanShell接口RCE

S2-062漏洞原理分析

X-AV Shellcode静态免杀框架

OSCP-loly靶场攻防

万能网站密码爆破测试工具：BurpCrypto

探索高版本 JDK 下 JNDI 漏洞的利用方法：第二章

浅谈pyd文件逆向

探索高版本 JDK 下 JNDI 漏洞的利用方法：第二章

从代码层面分析域内LM | NTLM Hash的生成过程

ThunderSearch - GUI图形化渗透测试信息搜集工具

在线咨询

微信