登陆 注册
  • 都0202年了老嗨还在用的 - 各种姿势jsp webshell

    XdfXdf 2020-06-03

    最近,我的朋友“老嗨”,他参加了一个某云举办的号称可能史上最强的使用了AI技术的Webshell检测系统挑战赛...因为我没什么时间去搞这个,所以,我把我珍藏多年,姿势比较多的JSP Webshell发给了老嗨,老嗨跟我说,全部bypass了,但最后的结果非常惨烈,有被抢了的,有的因为没适配windows导致降级的,也有因为裁判机使用了openjdk亦或者他...

  • DVWA1.10汉化版

    可乐无线可乐无线 2020-03-05

    最近在网上看了一下,DVWA这个靶场,网上最新的汉化版还是几年前的1.7版本,所以我自己在官网下载了一份最新的版本,汉化了一下,版本为1.10把内容全部汉化包括汉化报错的信息,让你更快找到问题所在汉化版本0.1下载链接https://www.lanzous.com/i9wqbib...

  • CTF靶场-我和我的女朋友 Me and My Girlfriend 1—Writeup

    CatGamesCatGames 2019-12-22

    Me and My Girlfriend 1—WriteupMy Blog:Blog.CatGames.cn环境:Vmware 14,Kali Linux 2019,VirtualBox题目来自:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/OVF来自:https://drive.googl...

  • 一次对学校AVCON系统的渗透

    LzersLzers 2019-07-28

    起初就是想扫下学校内网的IIS服务器,看看内网是否存在put漏洞的IIS服务器。出来一堆的结果就顺手点了下......发现目标存在任意文件下载,就把系统的shadow文件给下载了回来。http://xxxxxxx/download.action?filename=../../../../../../etc/shadow想着直接解密登录,但是后来发现root的...

  • 由 CSRF 引起的 XSS 漏洞小结

    legolego 2019-06-19

    偶然看到关于 ZZZCMS V1.6.6 版本存在后台 getshell 的文章,心想跟着复现一波,顺便练手。文章地址:http://www.iwantacve.cn/index.php/archives/250/这篇文章中有一个操作,就是修改缓存文件,从而达到 getshell 的目的,而其中修改缓存文件的功能是写在 /adm...

  • 基于污点分析的XSS漏洞辅助挖掘的一种方式

    LzersLzers 2019-06-14

    1. 序我在之前的一篇文章中简单讲解了Web应用代码自动化审计的几种实现方式。这篇文章以自动化辅助挖掘XSS漏洞漏洞为例,简单的讲解一个实际的灰盒分析实现的例子。在上文中有提到到,漏洞可以认为是输入到危险函数的过程,所以这篇文章涉及到的主要是输入、危险函数、具体实现这三个部分。2. 输入作为污点来源的输入主要考虑当前状态、网络请求和存储函数三个来源。当前状态...

  • 从一次开发漏洞看shiro的正确使用

    小威小威 2019-06-03

    事情的起因是帮班级开发了一个管理平台,其中的权限校验部分使用了shiro。上线后有一个同学发现了一个漏洞,可以造成任意用户登录,绕过Api的身份验证。我们在使用shiro进行身份认证时,需要根据自己的需求实现Realm,实现doGetAuthentication(用户身份认证信息)以及doGetAuthorizationInfo(用于权限校验信息)。问题代码...

  • Java random方法的安全问题

    废物麟废物麟 2019-06-03

    前言起源于强网杯的密码学题目random studyjava.util.Random题目中challenge two的主要代码如下:o = subprocess.check_output(["java", "Main"])tmp=[]for i in o.sp...

  • 利用web内径图谱来检测EAR漏洞

    至爱清唇至爱清唇 2019-04-30

    1 前言基于先前所做的研究工作,需要构建web应用的内路径图谱,本意是想构建精确的渗透路径,目前市面上看到大多数扫描器如果能够扫出来漏洞,好一点的可能会将攻击url和攻击参数展示出来,但是局限性就在于如果这个链接需要层层跳转,当用户不能直接访问这个攻击链接的时候,可能用户就会很迷茫:我该如何访问到这个链接?那么构建了web内路径图谱后,我们就可以根据爬虫的爬...

  • web安全漫谈

    WySecWySec 2019-02-11

    不夸张的说,网络安全行业里,web安全方向的人相对来说决定占大头,而web安全工程师又是其中不可缺少,想要成为一名成功的web安全工程师,首先要知道绝对的职位要求,话不多少,网上截两段~1、熟悉常见Windows&linux、Web应用和数据库各种攻击手段;2、熟悉网络安全测试方法、测试用例、漏洞判定准则;3、有实际渗透测试经验,熟悉渗透测试各种提权...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.