Hacking8 安全信息流
全部节点
技术节点
论坛
漏洞监测
黑客大会
微信公众号
全部节点
| 时间 | 节点 | |
|---|---|---|
| 2023年12月6日 09:22 | 补天社区 |
能想到,在十年后,在互联网的犄角旮旯里面,我还能重拾前人的经验、回忆和热枕,带着他们继续向前 十年过去了,这位 `lakehu` 师傅,你还好吗?如果不是隐退江湖,想必也已成为一方大佬了吧,向各位推动中国网络安全发展的师傅致以崇高的敬意! |
| 2023年12月6日 01:22 | 补天社区 |
哥斯拉是继菜刀、蚁剑、冰蝎之后的又一个webshell利器,这里就不过多介绍了。 GitHub地址:https://github.com/BeichenDream/Godzilla 很多一线师傅不太了解其中的加解密手法,无法进行解密,这篇文章介绍了解密的方式方法,主要补全了网上缺少的ASP流量分析、PHP解密脚本和C#解密脚本。 |
| 2023年12月5日 11:01 | 补天社区 |
愿我们都能以拿到第一台机器shell的热情继续学习下去,为网上家园筑起属于我们的安全堤坝! |
| 2023年12月5日 10:01 | 补天社区 |
对于图形验证码以及短信验证码的总结 |
| 2023年12月5日 09:01 | 补天社区 |
愿我们都能以拿到第一台机器shell的热情继续学习下去,为网上家园筑起属于我们的安全堤坝! |
| 2023年12月4日 10:31 | 补天社区 |
IDocView前台远程代码执行漏洞分析细节 |
| 2023年12月4日 09:01 | 补天社区 |
jsherpcms审计 环境搭建 源码:https://github.com/jishenghua/jshERP/releases/tag/2.3 下载之后用idea导入 导入数据库文件 然后修改配置文件 然后启动 测试用户:jsh,密码:123456 sql注... |
| 2023年12月3日 21:31 | 补天社区 |
随着移动互联网的快速发展和物联网设备的普及,API在应用开发中扮演着越来越关键的角色。几乎所有的APP、web网站、小程序、微服务都依赖API进行数据调用,因此与API相关的数据泄露事件也逐渐增多。Facebook 、Twitter、Amazon、美团等公司均发生过由于API未鉴权、鉴权不严格或其它漏洞而发生大量数据泄露事件。 API安全指的是确保应用程序接口的安全性,以防止未经授权的访问、数据泄露、篡改或其他恶意攻击。 |
| 2023年12月1日 10:01 | 补天社区 |
通过分析Ekko项目了解内存加密过程,这对对抗内存扫描来说很重要。 |
| 2023年12月1日 09:01 | 补天社区 |
在某头部直辖市的攻防演练中,各家安全厂商投入了大量人力物力...而我方基本未做准备,只有小米加步枪,且看如何不用0day如何连下数城 |
| 2023年11月30日 21:58 | 补天社区 |
简要介绍帆软FineReport 8.0版本中的组合拳漏洞原理和复现过程,并提供在日常流量侧分析时应注意的一些要点。 |
| 2023年11月30日 10:01 | 补天社区 |
Github上偶然发现某系统存在Java反序列化漏洞,在编写反序列化链的过程中踩了一些坑,并且这个漏洞最终的触发方式也比较特殊,本文分享一下此过程以及如何利用ysoserial工具完成Java反序列化链payload的编写,初学者通过本文也可以了解一下Java反序列化链的原理。 |
| 2023年11月30日 09:01 | 补天社区 |
XXL-JOB EXECUTOR/Flink 对应的内存马 |
| 2023年11月29日 10:01 | 补天社区 |
一个由Hessian API引发的getshell |
| 2023年11月29日 09:01 | 补天社区 |
一次从子域名接管到RCE的渗透经历 前言 本文接触过作者的一次奇妙的实战经历,从子域名接管到上传Shell提权,将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理... |
| 2023年11月28日 10:01 | 补天社区 |
Apache官方近期披露了CVE-2023-46750,在受影响版本中,由于在FORM身份验证中没有对认证后重定向的页面做验证,攻击者可以构造恶意的URL,使得用户重定向到恶意的URL地址。 |
| 2023年11月28日 09:01 | 补天社区 |
前言 今天这篇SQL注入的专题给到我们的Oracle数据库,它是甲骨文公司的一款关系数据库管理系统,其中在市面上的使用率也是很高的。因此这里有必要学习一下关于它的SQL注入的一些注意事项。我会... |
| 2023年11月27日 10:01 | 补天社区 |
由客户授权的一次攻防演练,从外网钓鱼到内网遨游,也算是幸不辱命,攻击路径绘制了流程图,接下来会按照我画的攻击流程图来进行讲解。 |
| 2023年11月27日 09:01 | 补天社区 |
Spring官方近期披露了CVE-2023-34062,在 Reactor Netty HTTP Server 中,1.1.x 版本在 1.1.13 之前以及 1.0.x 版本在 1.0.39 之前存在安全漏洞。在特定情况下,攻击者可以通过发送一个特定的 URL 的请求来触发目录遍历攻击。 |
| 2023年11月26日 13:01 | 补天社区 |
在某次对某单位进行渗透测试时,遇到一个上传点,网站是java写的,但是上传jsp和jspx时会被waf拦截,但由于上传路径可控,经过不懈努力最终成果拿到shell,于是写这篇文章记录一下 |
| 2023年11月24日 20:55 | 补天社区 |
某系统前阵子公开了模板注入的漏洞,漏洞点在于程序对传入的sql语句处理时使用了freemarker模板渲染导致的问题。代码对该接口传参的处理先经过sql关键字的过滤,且分析中发现了一处可用的sql注入的payload,故先从sql注入开始介绍。 |
| 2023年11月24日 10:01 | 补天社区 |
2023 年 11 月 8 日,SysAid 发布了一份公告,表示他们的本地服务器软件存在先前未公开的漏洞,并且发现了公开的野外利用,本文将对该漏洞进行分析,并给出利用方式。 |
| 2023年11月24日 09:01 | 补天社区 |
XXE漏洞指的是XML外部实体注入(XML External Entity Injection)漏洞,它是一种常见的安全漏洞类型,可以用来攻击基于XML的应用程序。当应用程序接受XML输入时,攻击者可以插入带有外部实体引用的恶意XML数据,从而导致应用程序执行未经授权的操作,比如访问本地文件系统、执行远程代码等。攻击者可以通过利用XXE漏洞来获取敏感信息、控制服务器,或者执行其他恶意操作。 |
| 2023年11月23日 10:01 | 补天社区 |
跟SpringMvc一样,Jersey也提供了类似过滤器和拦截器的功能,辅助进行类似鉴权类业务需求的开发。简单总结下Jersey中常用的鉴权措施。 |
| 2023年11月23日 09:01 | 补天社区 |
ActiveMQ漏洞分析保姆教程(CVE-2023-46604) by 猫蛋儿安全团队 |
| 2023年11月22日 10:01 | 补天社区 |
在某次渗透测试中,发现了一个通用上传的点,但经过测试发现,该网站存在waf,但是最终绕过waf,成功拿到shell |
| 2023年11月22日 09:01 | 补天社区 |
PlantUML是一种开源的、用于绘制UML(Unified Modeling Language)图表的工具,对CVE-2023-3432的成因进行分析。 |
| 2023年11月21日 10:01 | 补天社区 |
Reactor Netty HttpClient 是 Reactor Netty 框架提供的一个用于进行异步 HTTP 请求的客户端库。它基于 Reactor 框架,采用响应式编程模型,允许以非阻塞的方式执行 HTTP 请求和处理响应。浅谈其HTTP请求解析过程。 |
| 2023年11月21日 09:01 | 补天社区 |
本文以微信小程序为例,从实战入手,讲解有关于小程序这种新型攻击面的渗透,对于了解小程序的安全性和防范措施有一定的帮助。 |
| 2023年11月20日 10:01 | 补天社区 |
任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽,本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。 |