关于CABEDCABED是一款针对Chrome应用程序绑定数据的加密解密工具,该工具全称为Chrome App-Bound Encryption Decryption,在该工具的帮…
前言ysoserial被称为java反序列化利用神器, 其 GitHub 为: https://github.com/frohoff/ysoserial今天对其进行一个分析以及魔改…
1. 背景日常笔记使用语雀记录文章,想要快速同步内容至freebuf,寻找已有工具无果,遂写了个工具方便快速同步文章。2. 工具# coding=gbk import re imp…
简介最近,网络安全社区发现了一个影响OpenResty平台的新漏洞,编号为CVE-2024-39702。这一漏洞出现在OpenResty使用的LuaJIT分支中,通过字符串哈希函数…
去年的洞,不小心翻到了,今天又看了一下,发现这个思路还可以,所以给大家分享一下。因为是去年的文章,所以不要喷我,去年我很菜的,当然今年也是从ACL拿下一个url随便测测,发现它是先…
1.序言根据官网的更新日志,若依系统v4.6.1版本并没有修复存在的SQL注入漏洞问题,所以这篇文章既可以看做若依系统v4.6.1版本SQL注入漏洞的分析,也可以看做若依系统v4.…
1.序言这篇文章是对若依系统v4.6.2版本SQL注入的学习,主要的篇幅集中在若依对该漏洞的修复手段的分析。之前有过对若依系统SQL注入漏洞的分析,可参考文章审计若依系统v4.6.…
关于GroveGrove是一款软件即服务型(SaaS)安全日志收集框架,旨在帮助广大安全分析人员从不支持日志流的服务中收集安全日志等数据。Grove 使团队能够以可靠且一致的方式从…
JNDI高版本注入可以说是java安全大集合了。涉及了许多框架漏洞的组合使用,当分析完JNDI高版本时,我认为也算是正式入门JAVA安全了jndi注入第一需要在影响版本内,第二需要…
前言当域内管理员登录过攻击者可控的域内普通机器运维或者排查结束后,退出3389时没有退出账号而是直接关掉了远程桌面,那么会产生哪些风险呢?有些读者第一个想到的肯定就是抓密码,但是如…