排序
某HW中的小程序渗透
本文分享了对某HW供应链厂商小程序进行渗透的过程,包括功能点测试、API遍历和数据包分析。文章展示了如何通过细致的测试发现并利用漏洞,适用于安全技术爱好者和技术人员学习参考。
2年前记某src通过越权拿下高危漏洞
This article details the process of identifying and exploiting a high-risk vulnerability through privilege escalation on a community website. It covers the disc
2年前「免杀对抗」利用LLVM解释器执行你的代码
了解如何使用LLVM的lli.exe通过bitcode文件在目标环境中执行代码,有效绕过Windows Defender检测。探索C/C++代码转换为LLVM IR并在内存中解释执行的技术。
2年前记一次基于Union的sqlmap自定义payload
This article discusses the creation of a custom union payload using SQLMap to address complex SQL injection scenarios that standard tools cannot identify. Learn
2年前记两次内网入侵溯源
This article details the process of tracing two internal network intrusions. It covers vulnerability testing, log analysis, and deep-dive investigations to iden
2年前应急响应——全类型JAVA内存马排查
本文详细介绍了针对JAVA常见内存马的不同类型及其排查方法,帮助防守人员掌握基于动态注册组件和javaagent技术的内存马检测技能。
2年前实战|攻防中如何利用 WAF 缺陷进行绕过
了解实战中如何利用WAF性能缺陷、适配组件及协议的缺陷进行绕过。本文详细分析了多种绕过技术,如垃圾字符填充、高并发请求包处理等,并提供了针对云WAF和WAF白名单的有效绕过方法。
2年前记一次实战中对fastjson waf的绕过
本文详细介绍了如何通过unicode编码对fastjson的waf进行绕过,包括关键技术点和实战案例。适合网络安全与技术爱好者学习参考。
2年前对AgentTesla恶意软件多阶段加载器的一次手动分析
This article provides a detailed manual analysis of the Agent Tesla malware, focusing on its multi-stage loading mechanism and techniques used to evade detectio
2年前万户ezOFFICE协同管理平台 GeneralWeb XXE to RCE
深入分析GeneralWeb在使用XFire和Axis框架时的XXE漏洞,并演示如何通过DNSLog触发RCE利用。了解华盟网安全技术社区的专业研究。
2年前记一次实战中对Ruoyi系统的渗透
本文分享了对Ruoyi系统的实战渗透经验,包括druid弱口令爆破、任意文件下载和模板注入getshell等技术细节。
2年前Spring WebMvc.fn路由解析与权限绕过浅析
本文深入探讨了Spring WebMvc.fn在路由解析过程中的机制及其潜在的权限绕过问题。通过分析RouterFunctionMapping和RequestPredicates,揭示了安全漏洞并提供了防御建议。
2年前