早就想学java安全，但一直无从下手，今天下定决心好好学习，当然以下内容可能会有些许错误，小白的烦恼。 序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程；而Java反序列化是指...

0x01 前言 Valve 内存马与之前的三种内存马区别还是有点大的，之前内存马是放在 Web 请求之中的，Listener ----> Filter ----> Servlet 的流程，但是 Valve 内存马是在 Pipeline 之中的一...

发现 某次项目中遇到扫目录中奖了adminer.php，所以对adminer的利用做个小总结。 利用 确定admirer版本 adminer的大概界面一般如下图，可以通过界面获取版本信息。 而admirer<=4.6.2时，可以...

关于pretender pretender是一款功能强大的红队MitM安全测试工具，该工具专为红队研究人员设计，该工具不仅能够进行MitM和中继攻击，而且还支持执行DHCPv6 DNS接管以及mDNS、LLMNR和NetBIOS-NS欺...

前言 这段时间忙于工作，无法自拔~~~ 上周末刚好有空，随便逛了一下java开源cms，发现一个star挺多的mcms，就看了一下issues,发现了两个比较有意思的地方（主要感觉问题没有修复完全），写出来...

Resecurity 的研究人员最近发现了一个新的网络钓鱼即服务（PhaaS）平台 EvilProxy，该平台正在暗网中大肆宣传。在其他表述中，也有叫做 Moloch 的。该平台与此前出现的网络钓鱼工具包存在某种关...

利用Burp插件挖掘HTTP请求走私 HTTP请求走私通常遗留在漏洞发现赏金项目中。但通过正确的插件，您可以在下一个赏金项目中自动化地完成挖掘HTTP请求走私漏洞的过程。 了解HTTP请求走私 现代网站...

Shell Plus 是基于 RMI 的一款服务器管工具，由服务端、注册中心、客户端进行组成。 免责声明该工具用于服务器管理、攻防后门安全测试技术研究，禁止用于非法犯罪。 原理RMI（Remote Method Inv...

0x01 框架结构 采用thinkphp5作为框架，版本为5.0.2，默认开启debug模式，数据库默认使用PDO连接 打了补丁，修复了RCE通用漏洞 如图，增加了白名单，不能任意调用其他方法进行利用 0x02 Admin.p...

关于Erlik：Vulnerable-Soap-Service Erlik（Vulnerable-Soap-Service）是一个包含了针对SOAP的漏洞学习和研究平台，该项目包含了大量故意留下的SOAP安全漏洞，可以帮助广大研究人员更好地研究...