搜索[post],共找到109个文章
SQL注入Getshell的奇思妙想(下)
前言 由于笔者发现大量的hr面试官都喜欢从SQL注入开始询问,所以留心了一下关于SQL注入的问题的频率。结果非常amazing啊!不出意外的是--os-shell名列榜首。前面咱们已经分享了SQL注入Getshell...
WEB安全基础篇-跨站脚本攻击(XSS)
前言 此文章总结学习于《白帽子讲WEB安全》 跨站脚本攻击(XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。 一、XSS简述 XSS攻击是指黑客通过“HTML注入”篡改网页,插入恶意的...
Yakit Web Fuzzer 终极能力强化:热加载 Fuzz
Background 在 HTB:BountyHunter 中,我们发现 Web Fuzzer 在使用中可以 “更强”,我们需要编写 Yak 脚本的事情,如果可以经过某些 Web Fuzzer 的优化,可以达到同样的效果。 在一个标签中,...
从0到1完全掌握 SSTI
从0到1完全掌握-SSTI SSTI 的这张图,异常生动,师傅们可以看看 0x01 前言 网上部分文章全是翻译没有自己的理解,打算自己写一篇。最早看到 ssti,是在 Python Flask 那儿,最近打算系统地学习...
红队技术-父进程欺骗( MITRE ATT&CK框架:T1134)
概述 父进程欺骗是一种访问令牌操作技术,通过将恶意文件的PPID指定为explorer.exe等合法进程的PPID,可帮助攻击者规避启发式检测等防御技术。 该欺骗可通过使用本地API调用来执行,该调用可帮...
Kraken:一款基于爆破技术的多平台分布式密码安全测试工具
关于Kraken Kraken是一个功能强大的多平台在线分布式密码安全测试工具,该平台基于暴力破解技术来实现对密码安全性的测试,并允许广大研究人员在多台设备上以并行处理的方式遍历字典(基于crunc...
实战——某医院管理系统Getshell
前言 其实这周打算开始学Blockchain智能合约的,但是网络不行。。。先鸽一下。 起因是之前在等核酸结果,就顺便看了一下医院的管理系统,发现是某博。和有关部门要了授权,尝试了一下。 安装CMS...
从0到1完全掌握XXE
0x01 前置知识 XML 定义实体 XML 实体允许定义在分析 XML 文档时将由内容替换的标记,这里我的理解就是定义变量,然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。 XML 文档有自己...
一起针对韩国多个机构的窃密攻击活动分析
1.概述 安天CERT监测到一起目标为韩国奖学金基金会、重工企业等多个机构的窃密攻击活动。攻击者利用钓鱼邮件的方式投递恶意载荷,主题为“请求基础产业报价”的报价单,以此诱导受害者解压并执...