首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8086
文章
9121418
阅读量
349
订阅数
Hack the Box:Baby Ninja Jinja解题经历
0x00 又到快乐节假日,有足够的时间来玩玩 htb 了。话不多说,走起! 0x01 拿到源码 开始访问页面,是一段奇怪的介绍,然后一个输入框 先随便输入个什么试试,发现输入”的时候,出现了 flask 的报错 debug 页面,看起来是存在注入的。 在仔细审计下返回的 html,又发现了奇怪的东西,感觉 htb 出题目的人都喜欢把因此的接口放在注释里。 访问下/debug,嘿,这太眼熟了,flask。这个套路和之前 rick 那个好像是一样的,于是我看了下两道题的作者,果然是同一个人。 0x02
FB客服
2023-04-26
2690
SocialFish:一款功能强大的网络钓鱼测试与信息收集工具
SocialFish是一款功能强大的网络钓鱼测试与信息收集工具,在该工具的帮助下,广大研究人员可以轻松执行网络钓鱼测试或完成信息收集工作,企业安全管理人员也可以使用该工具来对员工进行安全意识培训。
FB客服
2023-02-10
3790
Erlik 2:一个基于Flask开发的包含大量安全漏洞的研究平台
Erlik 2,也被称为Vulnerable-Flask-App,该工具是一个基于Flask开发的包含大量安全漏洞的研究平台。本质上来说,它是一个包含了大量漏洞的Flask Web应用程序。有了这个实验环境,广大研究人员可以轻松在Web渗透测试领域提升自己的能力,或研究Web漏洞的运行机制。
FB客服
2022-11-14
3460
Werkzeug更新带来的Flask debug pin码生成方式改变
复现2020GYCTF-FLASKAPP及 2019CISCN double_secret出现异常。题目本身有两个解题方式。
FB客服
2020-07-08
1.2K0
LOLBITS:一款基于后台智能传输服务(BITS)的C#反向Shell
LOLBITS是一款C#反向Shell,它使用了微软后台智能传输服务(BITS)作为传输信道来与后端命令控制服务器进行交互。后台的命令控制服务器基于Flask Web应用程序构建,并且只能通过包含了有效认证Header的HTTP请求来与之通信。
FB客服
2020-02-20
1.1K0
Re2Pcap:由原始http请求响应创建pcap数据包
Re2Pcap是英文单词Request2Pcap和Response2Pcap的缩写。Community版的用户可以使用Re2Pcap快速的创建PCAP文件,并根据Snort规则对其进行测试。
FB客服
2019-08-29
1.4K0
如何在Windows和Linux服务器中检测混淆命令
在目前的无文件恶意软件或网络犯罪领域中,命令行混淆已经是很常见的了。为了绕过基于签名的安全检测机制,红队渗透测试以及APT攻击活动都会使用各种专用的混淆/模糊技术。同时,许多代码混淆工具(即执行语法转换工具)都已开源,这也使得网络攻击者们对给定命令进行混淆处理变得越来越容易了。
FB客服
2019-06-18
2.9K0
FlaskJinja2 开发中遇到的的服务端注入问题研究 II
0x00. 前言 本篇文章是 《Flask Jinja2 开发中遇到的的服务端注入问题研究》<点击阅读原文查看链接>续篇,我们继续研究 Flask Jinja2开发中遇到的SSTI问题,本篇文章会介
FB客服
2018-02-28
8530
“隐秘拍摄”实战:用树莓派制作一台可穿戴摄像机
最近我在搞可穿戴摄像头的项目,主体采用的就是树莓派。先前我有买过一款Narrative Clip——这就是个可穿戴相机,不过这款相机的质量实在是让人悲伤。最近我正好要去欧洲四国游,所以就花了些时间自己
FB客服
2018-02-08
1K0
没有更多了
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档