简介最近受朋友所托，在使用python写扫描器关于java反序列化漏洞的exp中，一直无法简便的生成payload。目前来说只有两种方法：python通过命令调用java的Ysoerial.jar 去获取gadget。 缺点太多了...

2020年年前开始研究Java反序列化，一直没有研究Java反序列化文件的格式。最近闲来无事，研究一下java反序列化文件的格式。扯这么多的原因主要是要达成两个目标尝试使用python读取java反序列化文...

新一代IAST灰盒安全测试技术凭借其极高的检出精度、深度的业务透视能力及高度自动化CI/CD支持能力，正快速由行业头部用户的场景化探索实践向广大中小型用户规模化应用实践演进。由于其特殊的技...

前言最近一段时间，我和Sudhanshu Chauhan一起参加了一个黑客挑战大赛，比赛中有这样一道有趣的题目：在只知道被渗透组织名称的前提下，对目标组织执行渗透测试任务。经过一番的摸索，我们通过...

一、查找域控的几个常用方法1.net viewnet view /domain2.set logset log3.通过srv记录nslookup -type=SRV _ldap._tcp.corp4.使用nltestnltest /dclist:corp5.使...

在上一篇 一些相见恨晚的BurpSuite插件推荐 文章中简单介绍了下 Turbo Intruder 这个插件，这次来详细讲解下这个插件的使用，灵活运用该插件可以很好地提高我们的渗透效率。Turbo Int...

前言我就是小菜鸡本鸡了，不是很会写东西，请各位大佬多多见谅。本文基于python2.7，因为python3并不是很懂。python文件如果要发布的话，有时候还是难免想保护一下自己的源码，有些人就直接编译...

作者：hu1y40（洞源实验室，安全工程师） 一、 事件背景腾讯旗下的微信是一款社交通讯应用程序，由中国互联网巨头腾讯公司开发和运营。作为一款领先的社交应用，微信在全球范围内拥有...