unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Rss
黑夜模式
CVE-2020-8558-跨主机访问127.0.0.1
title: CVE-2020-8558-跨主机访问127.0.0.1假设机器A和机器B在同一个局域网,机器A使用nc -l 127.0.0.1 8888,在机...
2022-9-15 23:41:29 | 阅读: 29 |
收藏
|
xz.aliyun.com
网络
容器
数据
localnet
eth0
红日安全团队ATT&CK(二)实战系列靶场
环境搭建还原一下快照登录web主机 使用密码 de1ay [email protected]登录进去进去之后进到这个目录下面,无...
2022-9-15 23:40:7 | 阅读: 45 |
收藏
|
xz.aliyun.com
weblogic
5cn
soapenv
wls
wsat
“黑猫”又伸出恶魔之手?揭秘BlackCat病毒的三重勒索
BlackCat 是第一个广为人知的用 Rust 编写的勒索病毒,该病毒带有一个加密配置,其中包含要终止的服务/进程列表、避免加密的目录/文件/文件扩展名列表以及来...
2022-9-15 23:39:0 | 阅读: 24 |
收藏
|
xz.aliyun.com
加密
勒索
网络
windows
受害者
CVE-2022-1292的分析
由于本人不会perl, 目前也没有别的文章参考, 所以有问题还请大家包容, 指正漏洞信息在openssl中的c_rehash存在命令注入, 允许以c_reash...
2022-9-14 21:40:35 | 阅读: 65 |
收藏
|
xz.aliyun.com
crl
dirlist
rehash
flist
perl
Gitlab常见漏洞复现及后利用
echo**@深蓝实验室重保天佑战队前言GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。这里...
2022-9-14 21:39:16 | 阅读: 76 |
收藏
|
xz.aliyun.com
gitlab
漏洞
22205
passwd
admin1234
从mcms历史漏洞中捡漏
前言这段时间忙于工作,无法自拔~~~上周末刚好有空,随便逛了一下java开源cms,发现一个star挺多的mcms,就看了一下issues,发现了两个比较有意思的...
2022-9-13 19:53:55 | 阅读: 24 |
收藏
|
xz.aliyun.com
mingsoft
ueditor
var9
网鼎CTF之findIT题解—Spring通用MemShell改造
这周参加了网鼎玄武组的CTF,有道题挺有意思。这道题目给了一个findIT.jar 附件,然后还提示了机器不出网。主要考察了以下几个方面:1、thymeleaf...
2022-9-13 19:52:20 | 阅读: 33 |
收藏
|
xz.aliyun.com
payload
thymeleaf
某后台管理系统的审计
0x01 框架结构采用thinkphp5作为框架,版本为5.0.2,默认开启debug模式,数据库默认使用PDO连接打了补丁,修复了RCE通用漏洞如图,增...
2022-9-9 23:56:45 | 阅读: 118 |
收藏
|
xz.aliyun.com
php
数据
控制
username
漏洞
关于那WebSocket劫持的二三事
什么是ws劫持ws劫持全称为跨站点WebSocket劫持(CSWSH),(也称为跨源 WebSocket 劫持)涉及WebSocket 握手上的跨站点请求伪造(CS...
2022-9-8 23:55:34 | 阅读: 19 |
收藏
|
xz.aliyun.com
csrftoken
攻击
burp
mybank
一些BAT的XSS实例(三)中级篇
前面发表了《一些BAT的XSS实例(一)基础篇》和《一些BAT的XSS实例(二)进阶篇》,主要详细的讲了下1~5题的思路,错过的朋友可以点击上面链接,去查看相应的文章...
2022-9-8 23:54:24 | 阅读: 74 |
收藏
|
xz.aliyun.com
单引号
px1624
sinaapp
px
如上图
红队开发基础-基础免杀(四)
引言本文是《红队开发基础-基础免杀》系列的第四篇文章,主要介绍了“反射型dll注入”及“柔性加载”技术。此外,本篇是对该系列文章的一个总结,利用前面几篇文章的技术...
2022-9-6 23:55:0 | 阅读: 99 |
收藏
|
xz.aliyun.com
shellcode
注入
bypass
揭开新型窃密软件的面纱:伪装成CDR画图应用安装包
新型窃密软件伪装成一款图形编辑软件,运行后持续窃取用户信息,并发送给攻击者服务器。1.恶意文件描述近期,深信服深盾终端实验室在运营工作中捕获到一款功能复杂的新...
2022-9-6 23:54:0 | 阅读: 19 |
收藏
|
xz.aliyun.com
信息
攻击
攻击者
数据
开源
Linux提权基础分享和讨论
title: 提权基础提权基础通常由于服务或其他漏洞渗透进的服务器,所配置的用户权限可能不是特权用户或用户权限较低,操作的局限性很大。权限提升的本质就是从低...
2022-9-6 23:53:35 | 阅读: 47 |
收藏
|
xz.aliyun.com
信息
脚本
漏洞
ssh
github
CVE-2020-28413 MantisBT SQL注入漏洞分析
漏洞相关信息根据CVE-2020-28413相关信息,在Mantis的API Soap组件中的mc_project_get_users方法中存在SQL注入,acc...
2022-9-5 23:55:21 | 阅读: 23 |
收藏
|
xz.aliyun.com
username
soapenv
xsi
xsd
mantis
一些BAT的XSS实例(二)进阶篇
很多朋友私信我,想看XSS绕过实例分析,所以我选了16个BAT的XSS实例来聊聊构造和绕过思路。以下为16道题目(大部分的题都是一题多解,尽量给出多种思路,或者最短的...
2022-9-5 23:54:50 | 阅读: 38 |
收藏
|
xz.aliyun.com
运算符
php
单引号
绕过
问号
JAVA常用框架SQL注入审计
一、JDBC拼接不当造成sql注入 JDBC存在两种方法执行SQL语句,分别为PreparedStatement和Statement,相比State...
2022-9-5 23:54:25 | 阅读: 46 |
收藏
|
xz.aliyun.com
注入
username
mybatis
一些BAT的XSS实例(一)基础篇
上次发了篇《强防御下的XSS绕过思路》的文章,有很多人私信问我,能不能来一些XSS绕过实例分析,这里我选了些N年前的BAT的XSS实例来聊聊构造和绕过思路。当然这些实...
2022-9-1 17:0:3 | 阅读: 28 |
收藏
|
xz.aliyun.com
运算符
绕过
zeddy
解法
huuuuu
利用Nginx、Tyk Gateway API和CloudFlare防火墙隐藏C2设施
本文首发于先知社区,未经允许禁止转载0x01 前言Cobalt Strike的特征已经被各大安全厂商标记烂了,加上搜索引擎、空间测绘的扫描,在配置C2域名后,如...
2022-8-31 22:55:35 | 阅读: 50 |
收藏
|
xz.aliyun.com
c2
tyk
流量
上线
jquery
域内批量获取敏感文件
域内批量获取敏感文件域内如果我们要获取指定机器,恰巧那台机器为linux只开了22等端口或者说无法从常规web打点进入,我们可以寻找运维机器的密码本,一台一台翻的话...
2022-8-31 22:54:3 | 阅读: 44 |
收藏
|
xz.aliyun.com
machine
writeline
CVE-2022-31197 PostgreSQL JDBC SQL注入分析
写在前面偶然看到了CVE-2022-31197,是由于ResultSet.refreshRow()引发的SQL注入,感觉有点小有意思,正好之前学习了JDBC att...
2022-8-30 23:40:39 | 阅读: 87 |
收藏
|
xz.aliyun.com
列名
漏洞
数据
payload
currentrow
Previous
129
130
131
132
133
134
135
136
Next