sss
2020-05-30
最近几天,无聊逛逛淘宝,看着想买的东西和自己的花呗账单,默默地退出淘宝。但想着一些东西总归是要买的,于是乎,点开了咸鱼APP,翻看一些东西。 结果,无意间发现了62数据这东西。如果你不知道什么是62数据,以及其危害,那么请听我细细道来。1什么是62数据?平时咱们登录微信,使用”手机号码+验证码”或...
sss
2019-09-24
0x00 前言Gootkit Banking Trojan在2014年被首次发现,最近Daniel Bunce(@ 0verfl0w_)介绍了一些对于Gootkit Banking Trojan的分析,文章地址如下:https://www.sentinelone.com/blog/gootkit-banking-trojan-persistence-othe...
sss
2019-06-27
密码法草案于6月25日提请十三届全国人大常委会初次审议。草案明确,任何组织或者个人不得窃取他人的加密信息,不得非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动。密码法草案中的密码,是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码的主要功能有两个:一个是加密保护,另一个是安全...
sss
2019-06-06
前言前段时间,在进行CVE-2019-2725复现时,在第二弹使用了JNDI注入。谈到JNDI自然离不开RMI和LDAP。但是,如果要用代码开启RMI服务未免过于麻烦,毕竟每次都要开启一个idea工程。marshalsec为了方便,我们可以使用marshalsec。它的GitHub项目主页为:https://github.com/mbechler/marsh...
sss
2019-06-04
现在这段时间是全员 hw 时期,刚好前几天也有幸参与了某个地方的 hw 行动,作为攻击方,这里就简单总结一下最近挖洞的思路吧。因为可能怕涉及到敏感的东西,这里就有的地方不会细说了。因为本人比较菜,所以只能做一点比较基础的总结,大佬们请忽略吧...渗透的大体过程整个渗透测试的流程就是通过信息收,集到外网的 web 漏洞挖掘,来获取一个 webshell ,通过...
sss
2019-05-21
几年前,我发现了一种在JavaScript中调用函数而不使用括号onerror和throw语句的技术。它的工作原理是将onerror处理程序设置为您要调用的函数,该throw语句用于将参数传递给函数:<script>onerror=alert;throw 1337</script>onerror每次创建JavaScript异...
