排序
“实战优化:登录参数加密逆向分析与SpEL表达式注入”
0x01 前言 Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于Unified EL,但提供了更多的特性,特别是方法调用和基本字符串模...
漏洞披露:公众号商城服务1分钱购物的安全隐患分析”
前言 支付漏洞是一个攻击者可以通过利用漏洞,窃取用户支付信息或篡改订单,从而获得非法利益。这些漏洞可能源自支付系统的设计缺陷、开发过程中的疏忽、系统配置不当、网络攻击等多种原因。因...
“Java代码审计技巧:深入了解CSRF防御与优化策略”
0x01 前言 CSRF跨站请求伪造(Cross-site request forgery),当某个接口没有设置CSRF验证,点击了别人恶意的链接,可能会造成对这个接口发送相应的数据,造成某个数据被更改。常发生在转帐、修...
“深入实战:优化攻防技巧,窥探内网靶场实操”
常规的XSS利用方式主要有窃取cookie、恶意链接、获取键盘记录、网页钓鱼、挂马等等,本次渗透首先通过XSS漏洞,利用XMLRequest发起ajax请求,实现了发起http请求的目的,并且把请求的结果返回了...
“加强防御技能:Java代码审计与CSRF漏洞优化策略”
0x01 前言 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。xss本质上...
“强化安全策略:解决Java代码审计与CSRF漏洞”
前言 这次流程大概是这样的:信息收集>>sso爆破>>jeecg getshell>>密码喷洒>>dcsync ,都是比较基础的操作。 getshell 刚开始通过信息收集从github一个项目里面找到了...
“实战优化:测试中登录参数加密逆向分析”
在测试过程中遇到一个登录框,看到前端加密的情况下对密码处进行了简单的加密分析在控制台中打开网络,匹配Fetch/XHR,可以看到password处进行了加密处理 在js中全局搜索encrypt这里可以看到使...
探索远程控制软件:渗透测试中的深度利用技巧
DLL 劫持 DLL 简介 在 Windows 中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即 DLL 文件,放置于系统中。当我们执行某一个程序时,相应的 DLL 文件就...
go shellcode加载 bypass AV
编写一个加载器需要围绕3个基本的功能实现: 申请内存空间:VirtualAlloc、VirtualAlloc2、VirtualAllocEx 导入内存:RtlCopyMemory、RtlCopyBytes、RtlMoveMemory 调用执行:创建线程的方式执...
“远程控制软件探索:渗透测试中的深度利用技巧”
idea编译生成适配环境的jar包 数据库配置推荐:mysql5+、jdk1.8 新建数据库ry,导入sql目录的两个sql文件 除此以外,为了搭建存在的漏洞环境,还需要在pom.xml修改shiro的版本为有漏洞的版本 生...
“探索优化标题技术:通关自建三层内网靶场实操”
背景 几天前,某公众号发布了一篇文章,介绍了面试北京某厂红队岗位的三个靶机题目。这让我想起两年前我面试该厂同样也是这三个靶机,笔者通过5个小时的时间,成功获取...
“挑战红队实战:优化攻防技巧,探索内网靶场实操”
外网打点 资产测绘三剑客 https://hunter.qianxin.com/https://fofa.info/https://quake.360.cn/ 挖掘高价值资产 https://github.com/EdgeSecurityTeam/EHole ehole重构了一版,需要下载source ...
“深化红日靶场渗透技巧:优化攻击路径与实战经验”
靶场环境 win7 是web服务器 2003 是域成员 2008是域控 添加一个网卡 win7是双网卡 一个桥接 一个52网段的网卡 另外两个都是52网段的网卡 实验开始 在上面已经通过cs抓...
给你的爱一直很安静「魔法师」 20小时前0
还需要嘛?在我的哔哩哔哩哪里有代码给你的爱一直很安静「魔法师」 37天前1
不好用找你了波a963263 4个月前0
试一下看看a963263 4个月前0
感谢分享使用a963263 4个月前1
感谢分享zjy2931 4个月前0
1111152xuexi 4个月前0
6666skylake_core 4个月前1
感谢分享