xor - 第 3 | CN-SEC 中文网

安全工具

SqliSniper：针对HTTP Header的基于时间SQL盲注模糊测试工具

关于SqliSniperSqliSniper是一款基于Python开发的强大工具，该工具旨在检测HTTP请求Header中潜在的基于时间的SQL盲注问题。该工具支持通过多线程形式快速扫描和识别目标应用...

05月31日33 views评论

阅读全文

安全文章

在 openECSC 上利用 V8：从内存损坏到浏览器 pwn 的初学者友好之旅

尽管 Chrome 有 7 个 CVE，但我之前从未真正充分利用过其V8 JavaScript 引擎中的内存损坏问题。Baby array.xor是今年 openECSC CTF 上的一项挑战，也是我...

05月31日19 views评论

阅读全文

安全闲碎

获取Telegram的用户IP地址

最近有个需求，查了些资料发现，Telegram有语音通话功能，也可以类似QQ一样通过语音通话的连接获取对方的IP地址， Denis Simonov （原文为俄语）发表过一篇文章，演示了如何通过 Tel...

05月19日17 views评论

阅读全文

云安全

零知识证明的先进形式化验证：如何验证一条ZK指令

为了深入理解形式化验证技术是如何应用于zkVM（零知识虚拟机）之上的，本文将聚焦于单条指令的验证。关于ZKP（零知识证明）先进形式化验证的总体情况，请查阅我们同期发布的“零知识证明区块链的先进形式化验...

05月07日24 views评论

阅读全文

安全工具

哥斯拉webshell管理工具免杀：Z-Godzilla_ekp

0x01 工具介绍哥斯拉webshell二次开发规避流量检测设备，目前测了国内两安全厂商的态感，连接和执行命令无任何告警，java，net，php 流量修改已经全部支持，以后还会集成一键免杀功能和一些...

05月06日60 views评论

阅读全文

CTF专场

DASCTF X GFCTF 2024 WP

-联合战队|共同成长-DASCTF X GFCTF 2024 WPWriteUPGFCTFMisc-teleTelegram使用了STUN协议流量。STUN（NAT会话遍历）是一种标准化协议，旨在帮助...

04月22日70 views评论

阅读全文

安全博客

AES CBC字节翻转攻击的利用

今天看到这样一道题  <?php include("AES.php"); highlight_file('index.ph...

04月04日14 views评论

阅读全文

邮件攻防宏免杀姿势2

众所周知,一般恶意样本或方法只要一公开就会被安全厂商分析,所以免杀不是绝对的,重点不在免杀而是思路 python真香, 能快速实现你想实现的想法免杀测试过程: 对GadgetToJScript 生成...

04月04日安全博客13 views评论

阅读全文

安全新闻

Xor.DDos僵尸网络详解

#############################免责声明：本文仅作收藏学习之用，亦希望大家以遵守《网络安全法》相关法律为前提学习，切勿用于非法犯罪活动，对于恶意使用造成的损失，和本人及作者无...

03月18日33 views评论

阅读全文

安全文章

熵-shellcode to xxx

0x01 前言熵值是用来衡量数据的随机性和不确定性的指标，高熵值表示数据更复杂和随机。对于Cobalt Strike生成的shellcode，早已被特征容易被AV检测，所以通常会采用加密、混淆等方式来...

03月05日19 views评论

阅读全文

安全工具

laZzzy - shellcode 加载器

特征直接系统调用和本机 ( Nt*) 函数（不是所有函数，但大多数）导入地址表 (IAT) 规避加密有效负载（XOR 和 AES）随机生成的密钥 x90使用 NOPS ( )自动填充有效负载（...

02月28日25 views评论

阅读全文

安全漏洞

【漏洞复现】安美数字酒店宽带运营系统SQL注入漏洞

资产收集hunter：web.title=”酒店宽带运营系统”fofa：title=”酒店宽带运营系统”页面效果漏洞复现访问language.php。payload如下：EditStatus=2&am...

02月16日63 views评论

阅读全文

SqliSniper：针对HTTP Header的基于时间SQL盲注模糊测试工具

在 openECSC 上利用 V8：从内存损坏到浏览器 pwn 的初学者友好之旅

获取Telegram的用户IP地址

零知识证明的先进形式化验证：如何验证一条ZK指令

哥斯拉webshell管理工具免杀：Z-Godzilla_ekp

DASCTF X GFCTF 2024 WP

AES CBC字节翻转攻击的利用

邮件攻防宏免杀姿势2

Xor.DDos僵尸网络详解

熵-shellcode to xxx

laZzzy - shellcode 加载器

【漏洞复现】安美数字酒店宽带运营系统SQL注入漏洞

在线咨询

微信