Mongodb注入攻击(mongodb注解)
0x00 前言关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查...
实战 | .NET高级代码审计反序列化Gadget之ExpandedWrapper
0x01 背景ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用,完美的扩展了两个泛型类且它的公开的属性可以存储投影结果,正是由于提供了这么多强大的功能才被反序列化漏洞发现...
Linux后门整理合集(脉搏推荐)(selinux后门)
本文《Linux后门整理合集(脉搏推荐)》由armyzer0团队原创投稿安全脉搏,作者老司机,安全脉搏SecPulse.Com独家发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。仅供参考 各位...
一种全新的APP注册登录验证技术方案?(app登记注册身份验证是否安全)
前言现在随便下载一个APP进行注册,虽然都是用手机号作为注册账号,但还是需要1分多钟才能完成注册流程。先要输入字符验证码证明你是一个真实用户,然后再去请求短信验证,最后输入确认码才算结...
Switch中缺少default导致的代码缺陷(switchlicense.bat 缺少)
1、什么是Switch中缺少default导致的代码缺陷?switch用在编程中,如C语言中它经常跟case一起使用,是一个判断选择逻辑结构。其功能就是控制流程流转。switch语句的语法如下(switch,case,break...
红队-java代码审计生命周期
红队-java代码审计生命周期@深信服-华南天玄攻防战队-KBAT前言红队java代码审计生命周期中常见的一些漏洞学习总结以及一些审计思路。红队-java代码审计生命周期过程源码获取->审计环境配置-&...
记一奇葩弱口令到内网实战(弱口令密码有哪些)
一、前期打点拿到目标后首先要做的就是信息收集,这次给的目标就给个单位名称,通过互联网上搜索发现其网站在阿里云上着实无奈,在这里推荐个寻找资产的方法,利用ICP/IP地址/域名信息备案管理...
【实战】文件加密器进行逆向(文件加密解密器)
前言实战可以大大提高自己,学习技术的目的就是能够在实战中运用。本次实战与实际息息相关,该软件具有加密某文件的功能。界面还挺好看的,功能很简单,输入文件和PIN(4位)进加解密。这是被加...
安全小课堂第119期【渗透测试之几个拦截行为bypass】(安全渗透测试工具)
现在的网络犯罪案件具有专业化趋势,因为具有隐蔽的特性。例如传销、赌博、色情直播,更多是和手机app的交互,加上https的普及,很多公有云不能通过流量有效甄别网络犯罪行为,从而提供防护服务...
Defcon China 靶场题 – 内网渗透Writeup
Defcon China 靶场题 - 内网渗透Writeup对内网渗透的题目挺感兴趣的,所以做了一发。先给个拓扑图1. wordpresshttp://192.168.1.2/是一个wordpress文件上传: http://192.168.1.2/wp-conten...
