一、漏洞原理 Serialization(序列化)：将java对象以一连串的字节保存在磁盘文件中的过程，也可以说是保存java对象状态的过程 deserialization(反序列化)：将保存在磁盘文件中的java字节码重新转...

恶意文件名称： W4SP 威胁类型： 信息窃取 简单描述： W4SP 窃密木马是使用 Python 编写并经过混淆的脚本，该木马被上传至 PyPI 的多个库中且被大量使用。 恶意文件分析 1.恶意文件描述 近期，...

给大家分享几个在渗透测试中常用的几个数据库综合利用工具，支持多种数据库和各种利用方式，各有利弊。 简单介绍下这几个工具的一些功能，主要以MSSQL为例，文中所用工具已打包，可通过文末方式...

恶意家族名称： DarkAngels 威胁类型： 勒索病毒 简单描述： 近期捕获了一款新的 ELF 格式的勒索软件，它根据给定的文件夹路径加密 Linux 系统内的文件，该勒索软件与 DarkAngels 勒索软件勒索...

Ares 银行木马在 2021 年 2 月出现，研究人员一直在跟踪该恶意软件的发展。Ares 基于 Osiris 恶意软件家族而来，后者也是由 Kronos 银行木马衍生而来。2022 年 3 月到 2022 年 8 月，Ares 一直...

近期FBI警告说，网络犯罪分子使用住宅代理IP进行大规模撞库攻击而攻击源却不被跟踪、标记的趋势正在上升。 该警告是联邦调查局的互联网犯罪投诉中心（IC3）上作为私营行业通知发布的主要是用来...

一、引言 近年来，云计算的模式逐渐被业界认可和接受。越多来多的企业将其业务迁移上云，业务上云的模式多种多样，包括公有云、私有云、混合云和社区云。其中公有云以其低成本、灵活性等优势备...

简介 在2022年的Defcon大会上,安全研究人员Wietze Beukema通过对进程级环境变量的研究，提出了一种Dll劫持新思路，下面就其中涉及的技术点展开介绍。 01 环境变量 每一个进程都有一个环境...

最初计划写EasyPen这个工具，是因为笔者认为 单机性能已经非常强大，哪怕是在家庭网络下，发包速率也非常可观 一般漏洞的应急，在已具备资产发现能力的情况下，写十几行代码扫全网，应该可以非...

反射是大多数语言里都必不不可少的组成部分，对象可以通过反射获取他的类，类可以通过反射拿到所有方法（包括私有），拿到的方法可以调用，总之通过“反射”，我们可以将Java这种静态语言附加上...