腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
黑白安全
黑白网成立于2014年,基于丰富的技术和经验,提供各类技术性动态。官网:heibai.org.cn
专栏作者
举报
1299
文章
2148591
阅读量
250
订阅数
订阅专栏
申请加入专栏
全部文章(999+)
安全(414)
网络安全(315)
其他(305)
黑客(161)
php(108)
网站(89)
windows(86)
编程算法(85)
https(83)
数据库(72)
http(67)
tcp/ip(61)
shell(57)
sql(54)
linux(52)
html(46)
github(42)
人工智能(42)
开源(42)
java(41)
git(37)
python(36)
api(35)
安全漏洞(35)
存储(32)
微信(29)
腾讯云测试服务(26)
dns(25)
搜索引擎(24)
云数据库 SQL Server(23)
ddos(23)
android(22)
访问管理(22)
区块链(21)
ios(19)
javascript(18)
企业(18)
比特币(17)
游戏(17)
缓存(16)
文件存储(15)
自动化(15)
apache(12)
物联网(12)
网站渗透测试(12)
tomcat(11)
大数据(11)
数据分析(11)
xml(10)
json(10)
打包(10)
windows server(10)
thinkphp(10)
ftp(10)
powershell(10)
bash(9)
.net(9)
单片机(9)
ubuntu(9)
分布式(9)
asp(9)
udp(9)
nginx(8)
容器镜像服务(8)
access(7)
unix(7)
深度学习(7)
运维(7)
爬虫(7)
ssh(7)
费用中心(6)
数字货币(6)
机器学习(6)
iphone(6)
go(6)
css(6)
jquery(6)
神经网络(6)
命令行工具(6)
短信(6)
容器(6)
seo(6)
cdn(6)
网站建设(6)
云镜(主机安全)(5)
人脸识别(5)
mac os(5)
c++(5)
jsp(5)
oracle(5)
ide(5)
正则表达式(5)
erp(5)
flash(5)
iis(5)
验证码(5)
漏洞扫描服务(5)
actionscript(4)
node.js(4)
bash 指令(4)
apt-get(4)
VPN 连接(4)
检测工具(4)
jdk(4)
wordpress(4)
npm(4)
机器人(4)
数据结构(4)
nat(4)
facebook(4)
隐私(4)
负载均衡(3)
swift(3)
ruby(3)
ajax(3)
memcached(3)
svn(3)
负载均衡缓存(3)
SSL 证书(3)
图像处理(3)
gui(3)
unity(3)
grep(3)
kernel(3)
小程序(3)
云计算(3)
c#(2)
lua(2)
vbscript(2)
qt(2)
composer(2)
云数据库 Redis(2)
vba(2)
jar(2)
maven(2)
analyzer(2)
delphi(2)
云函数(2)
云数据迁移(2)
DevOps 解决方案(2)
电商(2)
数据安全(2)
serverless(2)
压力测试(2)
html5(2)
rpc(2)
gcc(2)
lamp(2)
ntp(2)
微服务(2)
腾讯云开发者社区(2)
虚拟化(2)
drupal(2)
app(2)
exe(2)
md5(2)
加密(2)
手机(2)
DNS 解析 DNSPod(1)
NLP 服务(1)
自动驾驶(1)
xcode(1)
perl(1)
servlet(1)
jquery ui(1)
ecmascript(1)
webview(1)
汇编语言(1)
arm(1)
嵌入式(1)
postgresql(1)
phpmyadmin(1)
django(1)
flask(1)
eclipse(1)
struts(1)
spring(1)
NAT 网关(1)
物联网通信(1)
文字识别(1)
数字营销(1)
mongodb(1)
金融(1)
o2o(1)
出行(1)
移动开发(1)
kubernetes(1)
图像识别(1)
yum(1)
sql server(1)
推荐系统(1)
markdown(1)
jenkins(1)
socket编程(1)
lnmp(1)
hexo(1)
kerberos(1)
haskell(1)
云数据库 postgresql(1)
信息流(1)
防火墙(1)
密钥管理服务(1)
安全治理(1)
5g(1)
unicode(1)
ascii(1)
ipv6(1)
groovy(1)
app测试(1)
实时监控(1)
flink(1)
flarum(1)
安全.(1)
应急响应服务(1)
攻击面管理(1)
云安全中心(1)
Elasticsearch Service(1)
discuz!(1)
amp(1)
apply(1)
asterisk(1)
bat(1)
branch(1)
channel(1)
dll(1)
dp(1)
dump(1)
find(1)
foursquare(1)
function(1)
gif(1)
gmail(1)
google(1)
instagram(1)
ip(1)
jpeg(1)
nlp(1)
ode(1)
onclick(1)
oop(1)
pdb(1)
pid(1)
policy(1)
private(1)
runtime(1)
sip(1)
svm(1)
sys(1)
thinkphp5(1)
uber(1)
usb(1)
version(1)
voice(1)
wifi(1)
wiki(1)
window(1)
youtube(1)
zero(1)
测试(1)
服务器(1)
工具(1)
管理(1)
集合(1)
集群(1)
计算机(1)
教程(1)
漏洞(1)
内核(1)
配置(1)
苹果(1)
软件(1)
搜索(1)
网络(1)
效率(1)
源码(1)
主机(1)
搜索文章
搜索
搜索
关闭
CVE-2022-24288:Apache Airflow OS命令注入漏洞
安全
网络安全
容器镜像服务
容器
shell
0x01 简介Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。0x02 漏洞概述Apache Airflow 存在操作系统命令注入漏洞,该漏洞的存在是由于某些示例dag中不正确的输入验证。远程未经身份验证的攻击者可利用该漏洞可以传递专门制作的HTTP请求,并在目标
C4rpeDime
2022-09-13
1.8K
1
漏洞发布 | 棋牌某源码通杀注入直接反弹shell
http
json
shell
tcp/ip
缓存
直接上图FOFA搜索词:body="棋牌后台管理系统" && title=="后台登录"请求包POST /Login/ValidateLogin HTTP/1.1Host: 127.0.0.1:8001Content-Length: 30Accept: application/json, text/ja
C4rpeDime
2022-04-26
2.3K
1
疫情期间竟然还有这种病毒?解密古老而又神秘的宏病毒
vba
windows server
shell
powershell
http
这是 酒仙桥六号部队 的第 18 篇文章。全文共计3670个字,预计阅读时长10分钟。前言如果评选世界上最善良的文件,Word文档应该榜上有名。很少有人会把".doc"文件和黑客手中的杀人利器联系起来。然而,事实正好相反。上世纪90年代,就有"宏病毒"出现,病毒制造者利用word的特性,在文档中内嵌破坏性的程序。不过,
C4rpeDime
2022-04-26
5.4K
0
从剖析CS木马生成到开发免杀工具
网络安全
shell
编程算法
bash
bash 指令
木马是黑客实施网络攻击的常用兵器之一,有些木马可以通过免杀技术的加持躲过杀毒软件的查杀。本文由锦行科技的安全研究团队提供,旨在通过剖析CS木马生成过程以及开发免杀工具,帮助大家更好地理解CS木马的Artifact生成机制。
C4rpeDime
2022-04-26
942
0
都0202年了老嗨还在用的 - 各种姿势jsp webshell
shell
网站
jar
jsp
php
最近,我的朋友“老嗨”,他参加了一个某云举办的号称可能史上最强的使用了AI技术的WebShell检测系统挑战赛...因为我没什么时间去搞这个,所以,我把我珍藏多年,姿势比较多的jsp webshell发给了老嗨,老嗨跟我说,全部bypass了,但最后的结果非常惨烈,有被抢了的,有的因为没适配windows导致降级的,也有因为裁判机使用了openjdk亦或者他根本不会java瞎配的classpath导致不能运行的,惨惨。
C4rpeDime
2022-04-26
5.2K
0
记一次渗透棋牌APP实录
网络安全
shell
微信
安全
数据库
SA权限的注入点,原谅我菜,目前还没找到后台地址,数据库实在太特么乱了,虽然只有几个数据表,但是我不想一个一个的去翻,直接读sa密码解密失败,行吧,尝试下--os-shell 结果如上图,告诉我不支持,那我们改下类型,指定跑 stack queries 试试
C4rpeDime
2022-04-26
1.9K
1
fastjson≤1.2.47反序列化漏洞复现
java
shell
jdk
打包
网络安全
0x01 背景 努力学习ing~ 为以后遇到java环境增加测试项做准备,防止一脸懵逼情况发生?,一般到时再看为时已晚,so先下手为强?。 0x02 网络环境 攻击机: os:windows10 服
C4rpeDime
2022-04-26
751
0
通过Regsvr32的ole绕过Getshell小技巧
vbscript
powershell
shell
sql
dns
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
C4rpeDime
2022-04-26
818
0
致远A8协同管理系统0day漏洞深度剖析和漏洞利用
安全
shell
java
https
网络安全
首先这个漏洞在2019-6-26被人爆出,下面是网上爆出来的expPOST /seeyon/htmlofficeservlet HTTP/1.1Content-Length: 1111User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)Host: ip:portPragma:
C4rpeDime
2022-04-26
5.6K
0
反向壳和控制网络摄像头
shell
tcp/ip
windows
https
网络安全
如果您的网络摄像头上有一块胶带,您很可能听说黑客或NSA可以远程侦察您。问题是如何?远方的人,你从未见过的人如何能够远程连接你的机器并监视你? 现在可能是你的CCTV,IP摄像头只是暴露在互联网上,攻击者在Shodan等网站上发现了它。你没有更改默认密码和bam,他们在。看着你的一举一动。物联网相机通常就是这种情况。但是,如果我们谈论您内置的网络摄像头,答案
C4rpeDime
2022-04-26
606
0
安全技术|利用OpenV**配置文件反制的武器化探索
命令行工具
powershell
linux
shell
无意中看到一篇18年的老文,作者描述了一种利用OV**文件(即OpenV**的配置文件)创建一个反弹Shell的操作。核心在于官方声明的up命令,该命令常用于启用TUN后的指定路由。本质上相当于起了一个进程运行指向的任意脚本。
C4rpeDime
2022-04-24
763
0
致远 OA A8 无需认证 Getshell 漏洞
安全
网络安全
shell
致远互联旗下致远 A8+协同管理软件,存在远程 Getshell 漏洞。作为中国协同管理软件及云服务领先厂商,致远 A8+协同管理软件在国内拥有央企、大型公司都有广大的应用。 验证版本: A8+V7.0 SP3、A8+ V6.1 SP2 (V6.1 SP1 验证尚不存在,其他版本未验证) 触发条件:没有限制。 上述版本存在Getshell 漏洞。系统某处在无
C4rpeDime
2022-04-24
6.8K
0
badusb攻击windows10(msfconsole版)
windows
shell
在msf中我们配置参数,插入badusb即可得到shell,需要注意的是,本代码仅支持win10对于win7和xp由于不能直接用powershell下载,所以以上代码不能实现。
C4rpeDime
2022-04-24
575
0
黑客怎样用谷歌查找信息?
搜索引擎
黑客
shell
网站
黑客去入侵一个网站的时候往往需要搜集它的很多信息,这其中包括利用网站漏洞,社工,还有就是用搜索引擎进行搜索,而常被我们利用的搜索网站——谷歌就是一个非常好的信息搜索工具,下面就给大家普及一下谷歌搜索的技巧。Google高级预定义搜索语法如下:intitle:表示搜索在网页标题中出现第一个关键词的网页。例如"intitle:黑客技术 "将返
C4rpeDime
2022-04-19
1.1K
0
入侵检测之sqlmap恶意流量分析
shell
php
html
linux
编程算法
接着传递一个数组,尝试爆绝对路径,这都是老版本的办法了,现在行不通,这个可以当作一个行为特征来标记一下
C4rpeDime
2021-09-07
1K
0
【防溯源】如何优雅的隐藏你连接 Webshell 的真实 IP
tcp/ip
云函数
shell
serverless
网站
用过云函数的 XD 们都知道,它可以用来帮助我们转发请求,但是这种方法已经被老外玩烂了,但是也很实用!由于它自带 CDN 这样我们每次请求 Webshell 的时候 IP 都是不同的,从而达到隐藏 RT 的效果!还是那句话,一个合格的 RedTeam 被溯源到是很可耻的!
C4rpeDime
2021-09-07
1.1K
0
技术分享 | Fastjson-RCE漏洞复现
网站
shell
文件存储
java
容器镜像服务
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。 当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。 影响版本 Fastjson1.2.47以及之前的版本
C4rpeDime
2021-09-07
1.2K
0
打造一款Socket型免杀无弹窗的shellcode
网络安全
shell
编程算法
html
https
写一个 shellcode 带有 socket+rc4 加密跑远端加密后的 cs 的 payload 下载下来后执行。然后利用启动项劫持技术,绕过杀软的启动保护。
C4rpeDime
2020-03-06
1.6K
0
GitHub中公开的敏感数据
api
访问管理
github
shell
git
第42单元《云威胁报告:2020年春季》侧重于DevOps的实践,以确定云中发生错误配置的位置。该博客提供了对GitHub存储库的详细分析,以及对“左移”安全性检查的迫切需求,以使所有团队(DevOps,工程和安全性)能够更早地发现并解决问题。
C4rpeDime
2020-02-12
1.6K
0
蚁剑绕WAF进化图鉴
shell
php
编程算法
网站
最近大家都在捣腾 0708,由于太菜,只好坐等大佬分析喽。也没处理 issue, 也没写东西。回去领了个证书,说实话提前预约,到场直接走流程,留下身后一堆怨毒的眼神这种感觉自己像VIP一样的待遇真爽,后面找机会再分享一下这个事。
C4rpeDime
2020-02-10
1.4K
0
点击加载更多
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档