首页
学习
活动
专区
工具
TVP
发布

红蓝对抗

专栏成员
371
文章
306846
阅读量
38
订阅数
Hvv-day4威胁情报日记
亿人安全
2024-07-26
170
什么是内网渗透委派攻击?
域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户的权限在域内展开活动。
亿人安全
2024-07-24
780
Hvv-day2威胁情报日记
亿人安全
2024-07-24
910
Hvv-day1威胁情报日记
亿人安全
2024-07-24
900
技巧|记一次渗透测试之AES加密参数与踩坑记录
介绍:又一次公司的测内网系统项目的出现了流量加密,于是进行前端调试js逆向后对其流量反解密进行渗透(一次简单记录分享,大佬勿喷)
亿人安全
2024-07-24
1180
记对某根域的一次渗透测试
两个月之前的一个渗透测试项目是基于某网站根域进行渗透测试,发现该项目其实挺好搞的,就纯粹的没有任何防御措施与安全意识所以该项目完成的挺快,但是并没有完成的很好,因为有好几处文件上传没有绕过(虽然从一个搞安全的直觉来说这里肯定存在文件上传),那话不多说,进入正题吧。
亿人安全
2024-07-24
940
浅谈Apache Commons Text RCE(CVE-2022-42889)
Apache Commons Text是一款处理字符串和文本块的开源项目。其受影响版本存在远程代码执行漏洞,因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器Interpolator,导致攻击者可利用该漏洞进行远程代码执行,甚至接管服务所在服务器。
亿人安全
2024-07-24
530
Java代码审计之JFinalCMS
看到星球发布了一个作业,由于考试没及时弄。所以就自己随便看看了,这套系统确实漏洞很多,可以说是靶场。。。危险操作几乎都没有做过滤,而且很久没更新了
亿人安全
2024-07-12
840
攻防|记一次Ueditor上传Bypass
前一段时间和小伙伴在某内网进行渗透测试,目标不给加白,只能进行硬刚了,队友fscan一把梭发现某资产疑似存在Ueditor组件,但初步测试是存在waf和杀软的,无法进行getshell,经过一番折腾最终getshell,文笔粗劣,大佬勿喷。
亿人安全
2024-07-12
850
从一道CTF题浅谈MyBatis与Ognl的那些事
MyBatis 默认是支持OGNL 表达式的,尤其是在动态SQL中,通过OGNL 表达式可以灵活的组装 SQL 语句,从而完成更多的功能。在特定的情况下可能会存在RCE的风险。
亿人安全
2024-07-12
1260
Src挖掘之手把手edusrc漏洞挖掘和github信息收集
这里主要还是介绍下新手入门edusrc漏洞挖掘以及在漏洞挖掘的过程中信息收集的部分哈!(主要给小白看的,大佬就当看个热闹了)下面的话我将以好几个不同的方式来给大家介绍下edusrc入门的漏洞挖掘手法以及利用github信息收集的过程以及给师傅们分享一些比较好用的工具哈。
亿人安全
2024-07-12
1820
攻防|记一次VMware vCenter后渗透过程
针对VMware vCenter的介绍就不多说了,大佬们可以自己搜搜。这里只分享过程和踩到的坑点&技巧。
亿人安全
2024-07-12
820
浅谈黑盒识别Fastjson/Jackson组件
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦
亿人安全
2024-06-27
880
记一次对bookworm的渗透测试绕过csp
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦
亿人安全
2024-06-27
980
攻防|记一次绕过后缀安全检查进行文件上传
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦
亿人安全
2024-06-27
1810
一些APP渗透测试时的小tips
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦
亿人安全
2024-06-27
1220
记一次磕磕绊绊的sql注入漏洞挖掘
在审计.net时,首先要看的就是web.config,其中包括了网站的一些配置文件,包括数据库的连接信息和网站访问的路由。
亿人安全
2024-06-27
650
以点破面-探究勒索病毒常见攻击手法
最近老是遇到勒索病毒类事件,基于这种情况,在网上查找大量资料,深入学习一下勒索病毒。
亿人安全
2024-06-17
1500
Ebean框架常见SQL注入场景
Ebean是一个ORM框架,利用其可以快速构建有类型约束的安全的SQL语句。本文主要介绍该框架常见的SQL注入场景。給代码安全审计提供一定的思路。
亿人安全
2024-06-17
1050
内网渗透-kerberos原理详解
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“证明我自己是我自己”的问题,从而使得通信两端能够完全信任对方身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。
亿人安全
2024-06-17
940
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档