前言 由于笔者发现大量的hr面试官都喜欢从SQL注入开始询问，所以留心了一下关于SQL注入的问题的频率。结果非常amazing啊！不出意外的是--os-shell名列榜首。前面咱们已经分享了SQL注入Getshell...

端口扫描那些事 实习过程中要做一些渗透测试的工作，这段时间侧重来学习一下红队知识。 本次学习的实践操作使用了vulhub提供的靶机，整个流程完全合法合规。请勿利用文章内的相关技术从事非法测...

前言 此文章总结学习于《白帽子讲WEB安全》 跨站脚本攻击（XSS）是客户端安全的头号大敌，OWASP TOP 10多次把xss列在榜首。 一、XSS简述 XSS攻击是指黑客通过“HTML注入”篡改网页，插入恶意的...

Background 在 HTB：BountyHunter 中，我们发现 Web Fuzzer 在使用中可以 “更强”，我们需要编写 Yak 脚本的事情，如果可以经过某些 Web Fuzzer 的优化，可以达到同样的效果。 在一个标签中，...

从0到1完全掌握-SSTI SSTI 的这张图，异常生动，师傅们可以看看 0x01 前言 网上部分文章全是翻译没有自己的理解，打算自己写一篇。最早看到 ssti，是在 Python Flask 那儿，最近打算系统地学习...

概述 父进程欺骗是一种访问令牌操作技术，通过将恶意文件的PPID指定为explorer.exe等合法进程的PPID，可帮助攻击者规避启发式检测等防御技术。 该欺骗可通过使用本地API调用来执行，该调用可帮...

关于Kraken Kraken是一个功能强大的多平台在线分布式密码安全测试工具，该平台基于暴力破解技术来实现对密码安全性的测试，并允许广大研究人员在多台设备上以并行处理的方式遍历字典（基于crunc...

前言 其实这周打算开始学Blockchain智能合约的，但是网络不行。。。先鸽一下。 起因是之前在等核酸结果，就顺便看了一下医院的管理系统，发现是某博。和有关部门要了授权，尝试了一下。 安装CMS...

0x01 前置知识 XML 定义实体 XML 实体允许定义在分析 XML 文档时将由内容替换的标记，这里我的理解就是定义变量，然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。 XML 文档有自己...

1.概述 安天CERT监测到一起目标为韩国奖学金基金会、重工企业等多个机构的窃密攻击活动。攻击者利用钓鱼邮件的方式投递恶意载荷，主题为“请求基础产业报价”的报价单，以此诱导受害者解压并执...