渗透技巧
红队攻击-绕过waf以及IDS等流量设备
点击蓝字关注我哦前言2021年了,现在渗透的越来越难了,刚打的shell,过一会就没了,现在的流量设备,安全设备一个比一个流弊,payload一过去就面临着...
【新手入门系列】一步一步教你漏洞挖掘之XXL-JOB 未授权 Hessian2反序列化漏洞分析与复现
引言XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB ...
盘点 | 10月发生较典型安全事件超22起,主要集中于DeFi与加密骗局两个领域
又到了每月安全盘点时刻!据成都链安【链必安-区块链安全态势感知平台】安全舆情监控数据显示:2021年10月,各类安全事件仍然时有发生,本月发生较典型安全事...
某日志设备漏洞挖掘-从后台RCE到前台RCE
文章首发于:奇安信攻防社区https://forum.butian.net/share/811一:前言?在某次渗透过程中,客户的内网里遇见了一个日志设备,于是便有了后续的RCE漏洞挖掘...
红队技巧 | Metasploit 红队基础设施建设
0x01 前言停更了一小段时间,去备战月考了!这几天看了一篇关于Metasploit文章,发现好多红队基础设施建设都是关于CobaltStrike 其实Metasploit也可以域前置0...
Java反序列化命令回显和内存shell(1)
理论上来说,反序列化命令回显有很多花里胡哨的办法,但一般来说需要用到命令回显时都是不通外网时才用的,都通外网了直接弹shell上CS了,还废这个劲干嘛。因...
简简单单webshell绕过宝塔的一种方法【php】
前几天发了一篇绕过D盾的文章,如下简简单单webshell绕过D盾的一种方法【php】其实绕过宝塔的webshell,也很好绕过,也不需要对php的理解有多深入,其实往往...
团队师傅写的内网渗透资料~
0x00 前言 自 2020 年 11 月份至 2021 年 10 月份,在这近一年的时间里,笔者更新了自己在学习内网过程中的 30 余篇笔记,并将笔记同步更新到了自己的公众号...
webshell检测小结与实例分析
背景很久之前做过webshell检测方案调研[1],webshell可以在流量安全产品(比如waf、nids)和主机安全产品(hids)检测。在流量安全产品常见的检测场景包括:...
教育王,我当定了
Author: 远海@websecuritys.cn0x01 前言 最近忙着复习,所以很少关注安全这块了。本次是针对自己学校某系统的渗透记录,已获得相应授权。通...