首页
学习
活动
专区
工具
TVP
发布

红蓝对抗

专栏作者
340
文章
271359
阅读量
37
订阅数
记某积分商城任意金额支付漏洞分析利用及思考
大部分开发人员在开发时都会有一种思维惯性,传参处处有校验==处处都可信,但这个等式并非恒成立
亿人安全
2024-05-14
1560
CVE-2024-22262(CVE-2024-22259绕过)浅析
Spring官方近期披露了CVE-2024-22262,在受影响版本中,由于此前CVE-2024-22243、CVE-2024-22259的修复黑名单校验不充分,攻击者可能构造在协议、主机名、用户名、端口部分包含\\的url,使得通过UriComponentsBuilder类解析得到错误的值,绕过业务应用中的主机地址验证。
亿人安全
2024-05-14
1930
记一次EDU运气加成的高危漏洞挖掘
新手小白在FreeBuf的第一篇文章,喷的时候轻点哈,作为小白,这个洞有很大的运气加成的。
亿人安全
2024-05-14
1020
挖掘SRC时如何编写信息收集脚本
笔者在挖掘SRC的时候经常会疯狂寻找资产,但是市面上的信息收集工具都无法满足需求。有些工具收集方法太过于单一,有些信息收集工具要么过于笨重,要么需要购买知识星球获得。于是笔者选择自己去网上学习如何编写信息收集脚本,并把过程记录下来,供大家学习参考。在本文笔者将描述如何快速编写信息收集脚本来收集挖掘SRC所需的大量资产。
亿人安全
2024-05-14
1500
记一次微信小程序逆向
加密嘛,之前抓了看到是加密就放弃了,现在重新弄一弄 https://github.com/wux1an/wxapkg 用这个工具反编译本地微信小程序
亿人安全
2024-05-14
720
Java Web常见框架寻找路由技巧
在Java Web代码审计中,寻找和识别路由是很关键的部分。通过注册的路由可以找到当前应用对应的Controller,其作为MVC架构中的一个组件,可以说是每个用户交互的入口点。简单介绍下Java Web中常见框架(Spring Web、Jersey)寻找路由技巧。
亿人安全
2024-05-06
780
哥斯拉流量分析
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦
亿人安全
2024-05-06
1640
记一次内网渗透2
kali攻击机,Windows 2008(web服务),Windows 2012(DC域控),windows7 (PC机)。
亿人安全
2024-05-06
1090
记一次有源码的渗透测试
https://forum.butian.net/share/2904首先是得来的一个源码,查看下文件目录,按照命名大致标记下文件夹在整个php程序中起到了什么作用
亿人安全
2024-05-06
990
记一次内网渗透2
环境搭建: kali攻击机,Windows 2008(web服务),Windows 2012(DC域控),windows7 (PC机)。
亿人安全
2024-05-06
980
记一次参数走私导致的权限绕过
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦
亿人安全
2024-04-26
1030
记一次内网渗透
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦
亿人安全
2024-04-26
600
记一次内网渗透(靶机)
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦
亿人安全
2024-04-25
1080
攻防|不太常见的Windows本地提权方法一览
链接:https://www.freebuf.com/defense/397357.html
亿人安全
2024-04-19
1970
Src挖掘-某众测前端解密学习记录
某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验,希望对大家有所帮助。
亿人安全
2024-04-19
1430
攻防|反弹shell方式汇总
注意有些反弹shell的方法或脚本只适用于Linux或者Windows,注意区分相关脚本的编写方式方法。
亿人安全
2024-04-19
2070
攻防|一篇文章带你搞懂蜜罐
蜜罐是什么?为啥某些行业注重蜜罐?蜜罐的效费比高吗?蜜罐真的是未来的主流吗?安全运营对蜜罐什么态度?这些问题一直困扰着当时攻防演练结束后的笔者。多年笔者立下了flag要讲明白什么是蜜罐,蜜罐有什么用,蜜罐的定位,企业环境下蜜罐的规划;犹记当时鲜衣怒马,流觞赋曲,何其自傲!经过雨打风吹,才知天外有天,今日文章(参考图一),一为笔者兑现诺言,二为抛砖引玉,降低以后其他关于蜜罐文章的阅读门槛。
亿人安全
2024-04-19
820
内网渗透-春秋云镜篇(Privilege)
根据题目描述我们获取到了Jekins根目录为C:\ProgramData\Jenkins\.jenkins,然后我们这里搜索过后可以发现初始密码路径
亿人安全
2024-04-12
960
攻防|浏览器凭据获取 -- Cookies && Password
简介:近几年流行多因素认证(MFA),个人认为也是以后的趋势;进入某些网站只拿到账号密码是不行的,这时就体现出cookie的重要性了,利用cookie绕过多因素认证在以后会经常用到,所以本文来简单的分析一下cookie获取和利用的思路;
亿人安全
2024-04-12
1670
记一次多版本.net系统代码审计
做项目喜闻乐见的获取了bin.rar,当时快速过了config交了数据库权限,然后看代码发现mobileController下方法未授权,交了一些信息泄露,大部分是人员手机相关。项目结束后想交cnvd,写了个nuclei跑了一下结果没几个,当时大为不解,但是感谢他们部署系统的好习惯,顺手测了另两个站的bin.rar,嘿嘿。dnspy导出到vs里,记录一下发现的漏洞。
亿人安全
2024-04-12
830
点击加载更多
社区活动
RAG七天入门训练营
鹅厂大牛手把手带你上手实战
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档