排序
记一次“SQL注入” Bypass
本文详细解析了一次针对MyBatis框架的SQL注入漏洞如何通过OGNL表达式绕过安全编码,实现RCE攻击。文章涵盖了背景、漏洞代码分析及具体绕过策略,适合网络安全从业者学习参考。
2年前将基于时间的SQL注入升级为RCE
Learn how to upgrade a time-based SQL injection to Remote Code Execution (RCE) by exploiting xp_cmdshell and bypassing WAF. Discover the steps and techniques us
2年前【漏洞挖掘】记一次985证书站Oracle注入绕WAF
本文记录了一次985证书站Oracle注入并绕过WAF的实际操作过程,分享了多种注入技术如联合查询注入、报错注入及布尔盲注等。
2年前记录某项目中一次较为顺利的溯源反制过程
Explore the process of tracing and countering an attack in this project, including identifying the attacker's tools, understanding the scan targets, and analyzi
2年前记一次有源码的渗透测试
本文详细记录了一次有源码的渗透测试过程,包括发现并利用SQL注入及任意文件写入漏洞的方法。通过此案例,您可以学习到如何进行有效的渗透测试和漏洞分析技巧。
2年前记录某项目中一次较为顺利的溯源反制过程
本文详细记录了一次成功的溯源反制过程,从发现攻击IP到获取system权限,并深入分析了傀儡机上的扫描工具。分享技术思路和实用技巧,适合安全研究人员学习交流。
2年前记一次某双一流大学漏洞挖掘
This article documents the vulnerability hunting process of a certain first-class university's platform. Key findings include an arbitrary file read exploit and
2年前Windows Redis DLL劫持在实战中的利用
本文详细介绍了在实战中利用Windows Redis 3.2.100和3.0.504版本进行DLL劫持的技术,适用于红队实战。通过控制Redis服务,攻击者可以在不破坏原服务的情况下稳定地植入恶意代码。
2年前Kali Linux 暴力破解学校办公室WiFi 总结
本文详细介绍了使用Kali Linux进行WiFi暴力破解的方法与经验,包括网卡配置、监听模式设置及社会工程学的应用。
2年前记一次某地市小规模公司红队HW实战
This article details a red team operation targeting a small company with no official website or recruitment information. The author shares tactics such as phish
2年前记某积分商城任意金额支付漏洞分析利用及思考
本文详细分析了某积分商城中任意金额支付漏洞的利用过程,并提出了相应的安全建议。该文章探讨了开发过程中常见的思维惯性及其潜在风险,强调了后端校验的重要性。
2年前实战|对一次博彩站点的渗透测试
本文详细介绍了通过Shiro反序列化漏洞对博彩站点进行渗透测试的过程,包括后台爆破、权限获取和数据库读取等技术细节。
2年前