背景之前一直使用的是BurpSuite 2023版,最近终于升级到了最新版本。升级后,我发现了一个新增加的“Bambdas mode”过滤Tab,这个功能允许用户通过Java代码块…
0x1 前言这次给师傅们分析的是Nacos相关漏洞挖掘的骚技巧,主要是给师傅们打下nday,让师傅们能够从零基础的小白也可以上手打Nacos的nday(主要给小白看的,大佬勿喷)。…
Struts2 介绍Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构…
1.序言这篇文章通过对若依系统v4.6.2版本Thymeleaf模板注入的分析,学习SSTI漏洞的形成以及修复。之前有过对若依系统v4.6.0版本漏洞的分析,所以环境搭建,注入点判…
前言:其实没想去挖src的,可是好兄弟叫我一起,那就一起挖挖看,反正没啥事儿做,提升提升思路(其实我真的是fw)。那我们就开始吧,首先信息收集还是很重要的。前期信息收集:给大家介绍…
前言目前很多的项目都会使用富文本编辑器,如果使用或者配置不当,这些编辑器就会成为我们入侵的入口,本篇文章就来看看目前常用的编辑器都有哪些以及存在什么样的漏洞。常用的编辑器目前项目中…
关于MACOBOXMACOBOX是一款针对硬件安全的多合一渗透测试工具箱,该工具旨在通过提供一套全面的工具来分析和提取来自各种硬件接口的固件,从而简化和增强硬件渗透测试。MACOB…
一、简介jumpserver作为运维必备的神器,是大家喜闻乐见的攻击对象。新版本的加密改为国密之后,解密困难。而该工具的作者在一次授权的实战中又遇到了该堡垒机,故jumpserve…
关于PowerHubPowerHub是一款基于Web应用程序的渗透测试数据传输与端点管理工具,该工具可以帮助渗透测试人员传输数据,尤其是那些被端点保护标记的代码。功能特性1、无文件…
前言平时使用的Burp插件基本都是Github上面找的,但是遇到特殊情况挖洞时候要某项功能时候,插件往往就找不到了。这篇文章就简单来讲下如何自己编写burp插件,不用再每次缺少插件…