首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8085
文章
9119293
阅读量
349
订阅数
ADCSsync:基于ESC1执行DCSync技术和哈希转储的强大工具
ADCSsync是一款功能强大的临时性DCSync技术测试工具,该工具基于ESC1实现其功能,虽然该工具在运行速度方面没有优势,但ADCSsync能够在不使用DRSUAPI或卷影副本的情况下有效地执行临时DCSync攻击技术测试。
FB客服
2024-03-18
150
时隔近两年,斯坦福大学再遭数据泄露
据BleepingComputer 2月24日消息,美国斯坦福大学被曝在2022 年12 月至 2023 年 1 月期间发生了数据泄露事件,涉及897名正申请博士学位的研究生。 在一封发送给这些学生的邮件中,学校表示2023 年 1 月 24 日收到通知,由于文件夹设置配置错误,导致他们的经济系博士入学申请文件能够以未经授权的方式被访问。 斯坦福调查发现,数据泄露最早始于2022年12月5日,并且在2022年12月5日至2023年1月24日之间有两次下载记录。这些数据涉及学生的申请表和随附材料,包括姓名、
FB客服
2023-03-29
1850
如何使用FakeImageExploiter并利用伪造图片实现渗透测试
关于FakeImageExploiter FakeImageExploiter是一款功能强大的图片渗透测试模块,该模块支持接受一个用户输入的现有的image.jpg文件和一个payload.ps1文件,然后该工具将帮助广大研究人员构建出一个新的Payload(agent.jpg.exe),当该Payload在目标设备上执行之后,便会触发下载之前的那两个文件(存储在Apache2中,即image.jpg+payload.ps1),然后再执行它们。 除此之外,该模块还会更改agent.exe的图标以匹配另外
FB客服
2023-02-24
3550
如何使用S3cret Scanner搜索公共S3 Bucket中的敏感信息
S3cret Scanner是一款针对S3 Bucket的安全扫描工具,在该工具的帮助下,广大研究人员可以轻松扫描上传到公共S3 Bucket中的敏感信息。
FB客服
2023-02-10
7020
从FastJson库的不同版本源码中对比学习绕过方法
更新主要在com.alibaba.fastjson.parser.ParserConfig中。
FB客服
2023-02-10
6370
从Tomcat源码中寻找request路径进行注入
前面主要是通过寻找一个全局存储的request / response来进行Tomcat中间下的回显,但是在tomcat 7环境下并不能够获取到StandardContext对象,这里李三师傅在前文的基础中发现了在AbstractProtocol$ConnectionHandler#register的调用中不仅像之前的思路一样将获取到的RequestInfo对象存放在了global属性中。
FB客服
2023-02-10
3330
PHP立体安全:一网打尽攻击向量
构造特定路由访问即可控制反向引用2处的值,又因为这里是双引号可以解析变量,利用PHP复杂变量进行命令执行.
FB客服
2023-02-10
2570
FreeBuf周报 | 乌克兰IT军关闭了俄罗斯第二大银行;三菱电机PLC曝多个严重安全漏洞
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
FB客服
2023-02-10
3740
分析JEP 290机制的Java实现
JEP 290 在 JDK 9 中加入,但在 JDK 6,7,8 一些高版本中也添加了:
FB客服
2022-11-14
5420
commons-beanutils 的三种利用原理构造与POC
commons-beanutils 是 Apache 提供的一个用于操作 JAVA bean 的工具包。里面提供了各种各样的工具类,让我们可以很方便的对bean对象的属性进行各种操作。
FB客服
2022-11-14
8590
JAVA代码审计之java反序列化
Serialization(序列化):将java对象以一连串的字节保存在磁盘文件中的过程,也可以说是保存java对象状态的过程。
FB客服
2022-11-14
3260
RMI攻击Registry的两种方式
RMI(Remote Method Invocation) :远程方法调用。它使客户机上运行的程序可以通过网络实现调用远程服务器上的对象,要实现RMI,客户端和服务端需要共享同一个接口。
FB客服
2022-11-14
3130
利用JdbcRowSetImpl链对Fastjson1.2.23Jndi注入
Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
FB客服
2022-11-14
1980
如何使用openSquat检测钓鱼域名和域名占用
openSquat是一款开源的智能化OSINT公开资源情报工具,该工具可以帮助广大研究人员检测和识别特定的网络钓鱼域名或域名占用问题。
FB客服
2022-04-11
2.6K0
wireshark-forensics-plugin:一款功能强大的Wireshark网络取证分析插件
毫无疑问,Wireshark是目前应用最为广泛的网络流量分析工具,无论是实时网络流量分析,还是信息安全取证分析,或是恶意软件分析,Wireshark都是必不可缺的利器。尽管Wireshark为协议解析和过滤提供了极其强大的功能,但它暂时还无法提供任何有关目标网络节点的上下文信息。对于一名安全分析人员来说,TA必须梳理大量的PCAP文件来识别恶意活动,这就有点像大海捞针了。
FB客服
2022-04-11
1.3K0
CommonsCollections3分析
CC3和CC1很像,我的java版本是1.8.0_301,反序列化时失败。网上查了应该是jdk版本的问题,下面会分析问题原因。
FB客服
2022-02-24
3660
SMBeagle:一款功能强大的SMB文件共享安全审计工具
SMBeagle是一款针对SMB文件共享安全的审计工具,该工具可以帮助广大研究人员迅速查看网络中所有的可视文件,并判断目标文件是否可读或可写入。该工具所有的扫描发现数据都将存储至一个CSV文件中,或直接推送至Elasticsearch主机。
FB客服
2022-02-23
1.7K0
另辟蹊径,Memento 勒索软件的帮凶竟是WinRAR?
加密过程被安全公司拦截之后,新型Memento 勒索软件“另辟新径”,将文件锁定在受密码保护的WinRAR档案中。
FB客服
2021-11-26
4300
如何使用ODBParser搜索Elasticsearch和MongoDB目录数据
ODBParser是一款公开资源情报工具,可以帮助广大研究人员从Elasticsearch和MongoDB目录中搜索、解析并导出我们感兴趣的数据。除此之外,这款工具还可以帮助广大研究人员从开放数据库中搜索出曝光的个人可标识信息(PII)。
FB客服
2021-11-16
9970
Adobe 解决了产品中的四个关键缺陷
近日,Adobe发布了新的安全更新,解决其Acrobat和Reader、Connect、Commerce和Campaign Standard几款产品中存在的10个漏洞。
FB客服
2021-10-21
2980
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档