探寻Hessian JDK原生反序列化不出网的任意代码执行利用链 Whwlsfb's Tech Blog 2 years ago [2024-03-22 更新] 需要注意的是,这条链存在一条致命缺陷,在Method类中有一个名为slot的i … 继续阅读“探寻Hessian JDK原生反序列化不出网的任意代码执行利用链” whwlsfb
.Net ViewState反序列化实现无文件哥斯拉内存马 Whwlsfb's Tech Blog 2 years 1 month ago 基础 前言 常规ViewState的反序列化利用方式为找到网站路径后,通过echo等方式写入aspx\ashx … 继续阅读“.Net ViewState反序列化实现无文件哥斯拉内存马” whwlsfb
CVE-2022-22947 注入哥斯拉内存马 Whwlsfb's Tech Blog 2 years 8 months ago 前言 CVE-2022-22947是Spring Cloud Gateway的一个SpEL命令注入漏洞,前一阵 … 继续阅读“CVE-2022-22947 注入哥斯拉内存马” whwlsfb
BurpCrypto未来开发计划 Whwlsfb's Tech Blog 3 years 3 months ago 不知不觉中BurpCrypto从诞生到现在已经一岁半了,在这段时间里我对插件的基础功能进行了持续的Bug修复与 … 继续阅读“BurpCrypto未来开发计划” whwlsfb
复杂加密接口的一种SQL注入测试方法 Whwlsfb's Tech Blog 3 years 4 months ago 今天遇到一个存在SQL注入漏洞的系统。 通过手动修改参数值后确认漏洞确实存在,但是这么明显的注入漏洞,不可能留 … 继续阅读“复杂加密接口的一种SQL注入测试方法” whwlsfb
对一个使用JWT验证的系统渗透纪实 Whwlsfb's Tech Blog 3 years 11 months ago 某次,对某客户的系统进行渗透测试,上头的命令是必须拿下网站系统管理员用户的权限,经过分析后发现该系统使用Spr … 继续阅读“对一个使用JWT验证的系统渗透纪实” whwlsfb
BurpCrypto: 对单加密参数的登录接口进行密码爆破的一种方法 Whwlsfb's Tech Blog 4 years 6 months ago 在各种渗透测试的密码爆破的攻势下,有部分应用系统开发者开始另辟蹊径,将用户名密码加密至一个单参数的base64 … 继续阅读“BurpCrypto: 对单加密参数的登录接口进行密码爆破的一种方法” whwlsfb
BurpCrypto: 万能网站密码爆破测试工具 Whwlsfb's Tech Blog 4 years 6 months ago 完整使用说明现已更新至项目Github页面: https://github.com/whwlsfb/BurpC … 继续阅读“BurpCrypto: 万能网站密码爆破测试工具” whwlsfb
Lede软路由开启Softether UDP加速 Whwlsfb's Tech Blog 5 years 2 months ago 最近被梅林固件折腾的没脾气了,总是运行一段时间就无法SSH、服务无法重启、DNS无法解析等问题,内存、CPU、 … 继续阅读“Lede软路由开启Softether UDP加速” whwlsfb