如果已经了解CodeQL基础知识相信如下内容对各位有一定的帮助 功能 编译 闭源项目创建数据库，可以使用该工具：https://github.com/ice-doom/codeql_compile 历史查询 在VSCode左侧可以的QUERY H...

关于APTRS APTRS，全称为Automated Penetration Testing Reporting System，即自动化渗透测试报告系统，该工具也是一款针对Python和Django的自动化报告工具。该工具允许广大安全研究人员或渗透...

概述 父进程欺骗是一种访问令牌操作技术，通过将恶意文件的PPID指定为explorer.exe等合法进程的PPID，可帮助攻击者规避启发式检测等防御技术。 该欺骗可通过使用本地API调用来执行，该调用可帮...

0x01 前言 反序列化的漏洞，find usages 的部分，都建议大家手动去找一找。 0x02 环境搭建 JDK8u65openJDK 8u65Maven 3.6.3(其余版本可以先试试，不行再降版本) 当时环境搭建踩了好多坑， 多亏...

0x01 取证背景 近日，实验室部署的天穹威胁监测系统监测到IoT蜜罐系统中的某视摄像头遭受了外部的一次成功攻击。实验室相关人员对该次成功攻击事件展开了取证实践，顺利获取到攻击样本，并以此...

利用nmap脚本对MS SQL Server 进行渗透测试，获取目标用户名、数据库表等信息。 准备阶段 攻击机器： Kali(装有nmap) 目标机器：Windows Server 2019 (安装SQL Server 2016) nmap自带...

模板引擎（Web开发中） 是为了使 用户界面和 业务数据（内容）分离而产生的，它可以生成特定格式的文档，利用模板引擎来生成前端的HTML代码，模板引擎会提供一套生成HTML代码的程序，之后...

大约一年前开始，在韩国国防、卫星、软件和媒体出版等多个行业的公司中都发现了 Lazarus 组织的身影。本文旨在通过 Lazarus 组织入侵的组织，总结该犯罪团伙所使用的反取证技术。 概述 反取证技...

0x01 前言 获取漏洞赏金的第一步便是发现资产发现，资产发现第一步便是水平相关（查找根域名），您了解的资产越多，您可以攻击的资产就越多。通过扩大攻击面，您更有可能发现漏洞。上一篇...

MSF 信息收集 Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework，简称叫做MSF。Metasploit作为全球最受欢迎的工具，不仅仅是因为它的方便性和强大性，更重要的是它的框架。它...