实战回忆录:从Webshell开始突破边界
- 2022 年 6 月 27 日
- 笔记
正文 某授权单位的一次渗透,由于使用的php框架,某cms的上传,从实现webshell开始。 详情 添加监听,生成木马 …
Continue Reading
记一次有趣的逻辑漏洞挖掘
- 2022 年 6 月 24 日
- 笔记
今天又是一个挖洞的好日子,哈哈哈哈~ 发现一个系统,进去瞅瞅… 随便输入手机号和验证码,抓包,修改返回包 继 …
Continue Reading
从防御者视角来看APT攻击
- 2022 年 5 月 7 日
- 笔记
前言 APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,分 …
Continue Reading
有意思的CVE-2022-0337复现
- 2022 年 4 月 24 日
- 笔记
前言 前两天在刷tw,看到了个比较有意思的一个CVE漏洞,价值奖励是10000美刀,比较好奇的是价值10000美刀的 …
Continue Reading
ThinkPHP3.2.3反序列化链子分析
- 2022 年 4 月 15 日
- 笔记
前言 目前官方已经不再维护ThinkPHP3.2.3,本文仅对ThinkPHP3.2.3反序列化链子进行复现,如有纰 …
Continue Reading
实战天盾网络校验+暗桩
- 2022 年 4 月 14 日
- 笔记
0x1 刚打开就显示 有新版 然后自动退出了 说明有更新了现在这个不能用了 拉进od开整 因为有弹窗,通过弹窗下手 …
Continue Reading
挖洞实战之信息泄露与前端加密
- 2022 年 4 月 6 日
- 笔记
前言 本文并非密码向,不会对算法过程/代码逻辑进行具体阐述,因为这没有意义,实战的时候肯定是具体问题具体分析,所以了解 …
Continue Reading
记一次曲折的CVE-2018-1270复现分析
- 2022 年 4 月 2 日
- 笔记
前言 前两天接到朋友对某个授权目标的漏扫结果,也算是初次接触到这个漏洞,就想着顺手分析一下复现一下,因为分析这个漏洞 …
Continue Reading
从kill-chain的角度检测APT攻击
- 2022 年 4 月 2 日
- 笔记
前言 最近一直在考虑如何结合kill chain检测APT攻击。出发点是因为尽管APT是一种特殊、高级攻击手段,但是 …
Continue Reading
通过Kuberneters Goat学习K8S安全(上)
- 2022 年 3 月 28 日
- 笔记
实验环境://katacoda.com/madhuakula/scenarios/kubernetes-goat 0 …
Continue Reading