Cybersecurity information flow

干净的信息流推送工具,偏向安全圈的点点滴滴,为安全研究人员每日发现优质内容.

了解更多 »

全部节点
时间 节点
2024年5月24日 14:13 补天社区
CVE-2024-21683的漏洞分析,欢迎留言交流。
2024年5月24日 10:13 补天社区
本文主要介绍了AJP走私漏洞在实际项目中的应用,以及CVE-2023-46747的分析。
2024年5月24日 10:13 补天社区
我们在这篇本章中来学习一下如何对多模态大语言模型进行越狱攻击。
2024年5月23日 17:43 补天社区
Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.68.0及之前版本中,存在一处目录穿越漏洞。攻击者可以利用该漏洞读取服务器上任意文件。
2024年5月23日 10:13 补天社区
分享也是一种学习
2024年5月23日 09:13 补天社区
分享一个笔者挖的小米AX9000路由器命令注入漏洞(CVE-2023-26315)的调用链分析。为了赏金挖洞,为了稿费发文,又要到饭了兄弟们!
2024年5月22日 14:32 补天社区
Zabbix低权限SQL注入至RCE+权限绕过,可惜没找到关于传webshell的好方法,如有大神告知,感激万分!
2024年5月22日 10:02 补天社区
json-iterator(通常简称为 Jsoniter)是一个高性能的 JSON 解析库,它为 Java 和 Go 语言提供了简单而高效的 API 来进行 JSON 的序列化和反序列化操作。浅析其中潜在的参数走私场景。
2024年5月22日 09:02 补天社区
某次项目中遇到的系统,发现还是开源的,于是就下下来小审一下,从权限绕过到getshell,还是比较有收获。
2024年5月21日 10:02 补天社区
在以往测试中总结的序列化、反序列化漏洞,欢迎各位师傅们补充!
2024年5月21日 09:02 补天社区
本文记录了我第一次Oracle注入并绕过WAF的经历,希望大家多多支持。
2024年5月20日 20:32 补天社区
Git RCE 漏洞分析:从蛛丝马迹的漏洞分析到RCE
2024年5月20日 10:02 补天社区
主要讲下bof的代码编写和使用,让师傅们以后能快速修改上手利用
2024年5月20日 09:02 补天社区
普元Primeton EOS Platform(以下简称普元EOS)在节前被爆出存在反序列化漏洞。遂在此分析该漏洞成因,如有疏漏或错误,欢迎大佬指正包涵。
2024年5月17日 10:02 补天社区
不同于理论分析文章,这边分为三个部分,从理论到实战,主要是想让大家入门一下内存马的原理,以及学习利用CC链或者fastjson等打内存马的一些坑点还有如何注入内存马连接冰蝎,让师傅们能快速在实战中上手。
2024年5月17日 09:02 补天社区
DSL-JSON 是一个为 JVM(Java 虚拟机)平台设计的高性能 JSON 处理库,支持 Java、Android、Scala 和 Kotlin 语言。它被设计为比任何其他 Java JSON 库都快,与最快的二进制 JVM 编解码器性能相当。浅析其中潜在的参数走私场景。
2024年5月16日 11:02 补天社区
禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器
2024年5月16日 11:02 补天社区
多模态大模型,比如像 GPT-4v、Gemini以及一些开源的版本,例如 LLaVA、MiniGPT-4和 InstructBLIP等,它们将视觉能力集成到大型语言模型(LLMs)中。本文会分析针对此类模型的投毒攻击
2024年5月16日 09:02 补天社区
从发现攻击IP到反制拿到system权限,再到分析傀儡机上的扫描工具(有球球号),最后还原攻击路径。主打一个分享思路和技巧。
2024年5月15日 10:26 补天社区
转载个人公众号
2024年5月15日 10:26 补天社区
本文章讲解shiro和fastjson漏洞复现合集以及绕waf不出网利用 还带点sql绕安全狗
2024年5月15日 09:27 补天社区
花了些时间对鸡哥的sharpbeacon的代码进行问题修复和增强,为了让各位师傅少走弯路,将技术细节总结出来形成本文,也欢迎各位师傅留言进行交流学习。
2024年5月14日 10:03 补天社区
记一次golang的dsn注入之旅
2024年5月14日 09:03 补天社区
喜欢就好
2024年5月13日 10:03 补天社区
DASCTF X GFCTF 2024|四月开启第一局的一道一解题目(SuiteCRM)和零解题目(web1234)的详细题解
2024年5月13日 09:03 补天社区
JDNI注入漏洞已经很是众所周知了,针对高版本JDK的绕过方式主要是基于javax.naming.spi.ObjectFactory实现类的利用或者是通过反序列化进行绕过,本文主要讲述两个基于javax.naming.spi.ObjectFactory实现类来进行绕过高版本JDK点。
2024年5月11日 10:23 补天社区
第一次打AWD,打得汗流浃背,学习到了很多; 该篇文章是关于长城杯2024半决赛的writeup。
2024年5月11日 09:53 补天社区
Jayway JsonPath是json-path开源的一个用于读取 Json 文档的 Java DSL。JsonSmartJsonProvider 通常是其默认的 JsonProvider 实现。浅析其中潜在的参数走私场景。
2024年5月10日 10:13 补天社区
大部分开发人员在开发时都会有一种思维惯性,传参处处有校验==处处都可信,但这个等式并非恒成立
2024年5月10日 09:13 补天社区
Jayway JsonPath是json-path开源的一个用于读取 Json 文档的 Java DSL。浅谈其中的JSON解析差异导致的权限绕过。