0x1 前言看社区师傅们都分享了一波edusrc的证书站漏洞的挖掘,那我这不得给师傅们也分享一波,哈哈哈!下面这个漏洞的挖掘过程呢,主要是通过信息收集和对目标资产的一个资产收集,然…
RASP 技术通常内置在一个应用程序或应用程序运行时环境中,能够控制应用程序的执行,并检测漏洞以防止实时攻击,当应用程序开始运行时,RASP 可以通过分析应用程序的行为和该行为的上…
0x1 前言这几天在跟着师傅一起学习微信小程序的相关知识点,前面的微信小程序的漏洞挖掘蛮简单的,但是到后面需要黑盒测试了,就需要我们对小程序进行一个反编译,进行一个代码审计相关的知…
文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接…
文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接…
前文对于的el表达式的注入来说,通常是通过利用其能够动态执行的特性,之后通过反射的方式进行执行或者更常见的是通过调用JS引擎,之后通过执行js代码进行命令执行或者其他操作这里主要是…
昨天白虎组的比赛刚刚结束,题目难度还是一如既往的难以言尽,本次分享一下解题思路和分析过程,从细小之处抽丝剥茧拿到flag。MISC(杂项)misc1题目描述:某5G研发单位接到5G…
前言进攻性安全涉及模拟网络攻击,以识别系统、网络和应用程序中的漏洞,以防恶意行为者利用这些漏洞。在这一领域的工作传统上是手动的,需要熟练的专业人员仔细地测试和利用弱点。随着网络威胁…
大家好,我是一个在IT行业十余年的小菜鸟,今天与大家讲一讲不一样的免杀。一 常见的免杀。shellcode混淆,汇编花指令,使用常见的xor,AES等加密,这种方式不能说一定无法免…
前言分析了pickle反序列化在PyTorch分布式RPC框架中导致的任意代码执行漏洞的成因环境搭建及复现使用conda创建虚拟环境使用pip安装2.4.1版本的Pytorch分别…