零、漏洞回顾 Active Directory 域权限提升漏洞(CVE-2022-26923 )，允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员...

最新的2021 top 10已经出来了，我们从A01开始进行一次详细解读，本系列会详细介绍各个漏洞的变化与内容，并会着重介绍新增的漏洞情况。本篇解读A02  Cryptographic Failures（加密机制失效...

前言 此文章总结学习于《白帽子讲WEB安全》 跨站脚本攻击（XSS）是客户端安全的头号大敌，OWASP TOP 10多次把xss列在榜首。 一、XSS简述 XSS攻击是指黑客通过“HTML注入”篡改网页，插入恶意的...

关于VulFi VulFi，全称为Vulnerability Finder，即“漏洞发现者”，它是一个IDA Pro插件，可以帮助广大研究人员在二进制文件中查找漏洞。VulFi的主要目标是在一个单一视图中给研究人员提供...

从0到1完全掌握-SSTI SSTI 的这张图，异常生动，师傅们可以看看 0x01 前言 网上部分文章全是翻译没有自己的理解，打算自己写一篇。最早看到 ssti，是在 Python Flask 那儿，最近打算系统地学习...

通过ctfhub系统对RCE学习 RCE英文全称：remote command/code execute（远程命令/代码执行漏洞） 分为远程命令执行ping和远程代码执行eval。 漏洞出现的原因：没有在输入口做输入处理。 我们常见...

引言 俗话说得好，80后用菜刀，90后用蚁剑，95后用冰蝎和哥斯拉。本文主要是对这四个主流的并具有跨时代意义的webshell管理工具进行流量分析和检测。 注：本文均以phpshell连接为例进行研究分析...

1.前言 oasys是一个OA办公自动化系统，使用Maven进行项目管理，基于springboot框架开发的项目。 下载地址自行在github或gitee寻找即可。 部署流程也不做过多讲解，因为是springboot项目，导入数...