DrayTek研究之CVE-2024-41592详细分析
主要内容包括固件分析、固件解密、符号恢复、漏洞研究、draytek特有的网络架构
先知技术社区
代码审计之实战中各类SQL注入漏洞代码分析及其成因分析(以jeecgboot3.5.3为例)
11 hours 39 minutes ago
这篇文章主要分享在实际项目中各类SQL注入漏洞形成的原因,并且使用了较多企业使用的开源项目jeecg-boot为例子,从而进一步理解SQL注入漏洞是如何形成以及为什么会出现sql注入漏洞。
某公司的渗透技能考核靶场通关记录
11 hours 46 minutes ago
有点子小操作哦
ssti之Request浅析利用
11 hours 48 minutes ago
在XYCTF2025中的web方向两道ssti题目中发现禁用了一堆关键字,如何进行有回显和无回显的rce利用呢?
构建 AI 大模型信息安全体系-从模块整合到整体防御
11 hours 57 minutes ago
/
Webshell命令执行失败实战场景下解决思路
11 hours 58 minutes ago
各位红队师傅否遇到过这样的窘境:费尽心思上传了webshell,上传下载都没问题,却发现命令执行总是失败?今天就结合我个人经验剖析webshell上线后cmd命令执行失败的几种常见原因和解决方法,有其他方法欢迎在评论区分享交流。
fastjson原生链分析
12 hours 24 minutes ago
说起 fastjson 反序列化,大部分的利用都是从 @type 把 json 串解析为 java 对象,在构造方法和 setter、getter 方法中,做一些文件或者命令执行的操作。当然,在 fastjson 的依赖包中,也存在着像 CC 链 一样的利用的方式,从 readOject 出发,达到命令执行的效果
第十八届软件系统安全赛攻防赛半决赛-Razorcor Writeup
12 hours 28 minutes ago
第十八届软件系统安全赛攻防赛半决赛-Razorcor Writeup
JAVA代码审计——Echo4.2
13 hours 8 minutes ago
JAVA代码审计——Echo4.2
Cobalt Strike 流量伪装与免杀小技巧
14 hours 10 minutes ago
接触Cobalt Strike 流量伪装时候留下的笔记
若依CMS 4.5.1代码审计小记
17 hours 38 minutes ago
RuoYi是一个后台管理系统,它主要基于经典技术(Spring Boot、Apache Shiro、MyBatis、Thymeleaf)组合构建而成,主要目的让开发者注重专注业务,降低技术难度,从而节省人力成本,缩短项目周期,提高软件安全质量
域渗透之treenhorn
18 hours 12 minutes ago
web渗透端口扫描使用nmap进行端口探测,发现存在22,80,3000端口开放。探测其具体版本信息等。访问80端口。发现其框架为pluck4.7.18.弱口令尝试进行弱口令尝试,发现不存在弱口令。访问3000端口。发现存在一个gitlab。发现其存在一个/data目录。发现其存在源代码。敏感数据泄漏存在数据库文件,泄漏密码。密码解密然后成功解出密码为iloveyou1接着进行登录。漏洞利用命令执
某数字藏品app逆向
19 hours 33 minutes ago
某数字藏品app逆向
IIS下web.config利用
1 day 2 hours ago
IIS下web.config利用
记一道取证题分析和试错过程
1 day 3 hours ago
今年线上线下ctf比赛都出现了很多取证题,在此拿一道题来进行分析,并讲述工具利用
TamuCTF2025(Web全)
1 day 3 hours ago
周末高强度比赛中发现一个质量较高的比赛
2025XYCTF部分wp
1 day 7 hours ago
2025XYCTF wp by Br1ghtM0on
SwampCTF Re WP
1 day 9 hours ago
SwampCTF Re WP本周末的一个国际赛,ctftime rating挺高,质量还可以
SwampCTF第一题简单,剩下两道题都有一定难度,需要一定技巧,本文详细分析了后两题
Hessian反序列化流程及漏洞浅析
1 day 10 hours ago
具体分析了Hessian协议在序列化和反序列化的相关流程代码、并通过Rome链和JdbcRowSetImpl两个链进行了漏洞分析
一个LummaStealer样本的反混淆分析
1 day 13 hours ago
Lumma Stealer;反混淆;
Checked
6 minutes ago