前几天在 B 站上看到一节录播课,感觉学习到了很多东西,反复观看仍不过瘾,所以决定写下这篇文章以做笔记。漏洞简介 漏洞起源于前段时间比较火的小皮 1-click 漏洞,用户名登录处缺少过滤...
中间件MinIO信息泄露导致的RCE(CVE-2023-28432)
简介Minio 是一个基于Go语言的对象存储服务。它实现了大部分亚马逊S3云存储服务接口,可以看做是是S3的开源版本,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟...
向日葵远程代码执行(CNVD-2022-10270)漏洞复现
0x01 描述上海贝锐信息科技股份有限公司的向日葵远控软件存在远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672),安装以下存在windwos问题版本的个人版和简约版,攻...
Okta 漏洞可能允许身份验证绕过
领先的身份和访问管理平台 Okta 最近宣布了一项关键安全更新,以解决其 Active Directory (AD) 和轻量级目录访问协议 (LDAP) 委托身份验证机制中的漏洞。该漏洞已在内部发现并...
socat进行HTTPS转发
创建: 2023-08-23 16:10https://scz.617.cn/network/202308231610.txt有无数从事HTTPS转发的工具,此处不讨论为什么要用socat干这事,只说...
【翻译】如何绕过 Golang SSL 验证
使用 HTTPS 请求的 Golang 应用程序默认启用了内置的 SSL 验证功能。在工作中,我们经常会遇到使用 Golang HTTPS 请求的应用程序,我们需要以纯文本形式检查请求以查找安全漏洞和...
FLIR-AX8热成像仪多个漏洞复现+代码分析
hunter语法 web.icon=="f4370ff0b4763e18159cd7cdf36a4542" FLIR-AX8热成像仪-RCE分析 漏洞描述: 1.46.16...
一个脚本绕过了Go语言SSL验证
摘要 使用 HTTPS 请求的 Golang 应用程序默认启用内置的 SSL 验证功能。在工作中, 经常遇到使用Golang HTTPS请求的应用程序,我们必须检查纯文本的请求,以发现安全缺陷和错误。...
js逆向案例-极验4代九宫格与语序点选
提示!本文章仅供学习交流,严禁用于非法/商业用途 文章如有不当可联系本人删除! 涉及加密:AES-CBC与RSA与guid与md5/sha1/sha256 网址base64: aHR0cDovL2N4...
实战攻防-K8S接管逃逸容器到宿主机
前言k8s未授权,网上关于未授权的利用方式大多到接管容器就结束了,而对于获取宿主机权限的较少,在不断尝试之后成功获取宿主机root权限不是星标不推送文章了。师傅也不想吧~快把极梦C设置成星标吧。未授权...
官方WP | 可信赛题的创新与线上赛题目解说
编者荐语:本文分享了胡俊老师对可信赛题的创新点以及在第十七届全国大学生信息安全竞赛—创新实践能力赛初赛中,两道可信赛题的深入分析。同时,也分享了成功解出这两道题目的队伍所采用的方法和技巧。“用户信息访...
某cms漏洞挖掘分析
某cms漏洞挖掘分析,该系统代码简单,因此注入漏洞发现过程还是挺顺利的,就在index.php的文件中,结果绕过waf稍微有些曲折,特此记录一下学习过程。 某cms漏洞挖掘分析,该系统代码简单,因此注...
5