Linux中grep工具的使用目录Grep grep 支持的字符 grep -E 或 egrep 支持的字符 grep -P 支...
CWE-1046 使用字符串连接创建不可变文本
CWE-1046 使用字符串连接创建不可变文本 Creation of Immutable Text Using String Concatenation 结构: Simple Abstraction...
WMCTF-WriteUp
Webez piwigoadmin/admin登录后台,在 plugins 这里开启Localfiles Editor审计插件代码发现存在一个 eval 代码注入点分析代码可知只需要 post 传入s...
web安全-cms指纹识别
一、前言CMS指纹识别:指纹识别是将识别对象的指纹进行分类对比从而进行判别就像是人的指纹一样,不会出现一模一样的指纹,从而通过每个对象的不同特征来识别对象的归属。这里的指纹识别是指网站CMS指纹识别,...
CobaltSrike二次开发之流量修改
CobaltStrike特征修改修改Stager防止被直接扫描:修改位置如下cloudstrike/webserver.java 修改isStager函数,只要不是92或者93就行。这里首先...
天融信TopApp-LB 负载均衡系统Sql注入漏洞
1POST /acc/clsf/report/datasource.php HTTP/1.1Host: localhostConnection: cl...
36D杯-逆向-BBBigEqSet和tiny
> This site is best viewed in a modern browser with JavaScript enabled. ### id="flarum-content"&g...
如何使用pmd编写xpath rule来检测安全合规问题
本文重点讲解xpath的语法。因为真他妈的难搞。首先,xpath分1.0和2.0 ,2.0的方法很多,各种牛逼的方法 很便捷,但是他妈逼的pmd和sonar部分其他的xpath规则只能支持1.0的。如...
看我如何从外网直接拿下内网靶标
作者:Bughunter,文章来源:先知社区1.拿到目标制定策略进行信息收集某地攻防演练拿到演习目标后,进行了一波常规信息收集,打了一个靶标。发现靶标分数有点高还是打靶标来得快,于是对所有靶标进行分析...
Text-To-Speech speaks pwned
Text-To-Speech engine is a default enabled module in all Android phones, and exists up to Android 1....
XSS:IE下text/plain绕过XSS
0x00 一般在服务器返回Content-type: text/plain的时候,浏览器都不会去解析其中的代码。 但是IE在这方面有了个小Bug导致有可能绕过这个限制。 0x01 神秘的.eml文件 ...
【原创】Internet Download Manager 序列号算法逆向并编写注册机
作者论坛账号:kei07251. 前言idm version : 6.38 Build 232.算法逆向IDM的序列号验证函数定位在:下面是在IDA下的代码分析: 复制代码 隐藏代码.text:005...
15