[ HOME ] [
隱私政策 ] [
0day ] [
業務合作 ] [
獲取金幣 ] [
ins破解 ] [
Facebook破解 ] [
faq ] [
联系我们 ] [
遠程控制木馬 ] [
合作方式 ]
用戶:
40393
taibeihacker 的最近動態
-
T###弱口令的定义 弱口令(weak password)...
-
TShiro 反序列化漏洞原理分析 1 概述 Apache Shiro 在Java 的權限及安全驗證框架中佔用重要的一席之地,在它編號為550 的issue 中爆出嚴重的Java 反序列化漏洞。...
-
TNTLM Relay 1 NTLM 协议 1.1 简介 NTLM 協議是一個在微軟環境中使用的認證協議。該協議允許用戶向服務器證明其身份,以便使用該服務器提供的服務。 有兩種認證的場景: 工作組環境...
-
TWebshell 内存马分析 內存webshell 相比於常規webshell 更容易躲避傳統安全監測設備的檢測,通常被用來做持久化,規避檢測,持續駐留目標服務器。無文件攻擊、內存Webshell、進程注入等基於內存的攻擊手段也受到了大多數攻擊者青睞。 1 PHP 内存马...
-
T1. 管理员登录页面弱密码...
-
TJDK 7U21 Gadget 問題 前面的文章中介紹的都是利用第三方庫的反序列化利用鏈。沒有合適的第三方庫存在時,Java 反序列化是否還能利用。 首先,存在不依賴第三方庫的Java 反序列化利用鏈,但是,Java 新版本沒有這樣的問題。 1 原理 JDK7u21...
-
TWindows PowerShell的強大,並且內置,在滲透過程中,也讓滲透變得更加有趣。而安全軟件的對抗查殺也逐漸開始針對powershell的一切行為。 在https://technet.microsoft.com,看到文檔如下: Windows...
-
TJava反序列化漏洞系列-4 1 Java 动态加载字节码 1.1 字节码 嚴格來說,Java 字節碼其實僅僅指的是Java 虛擬機執行使用的一類指令,通常被存儲在.class 文件中。 眾所周知,不同平台、不同CPU 的計算機指令有差異,但因為Java...
-
T本文是關於Apache struts2 CVE-2013-2251是由於導致執行遠程命令的影響而被高度利用的漏洞。簡而言之,通過操縱以“action:”/”redirect:”/”redirectAction:”為前綴的參數引入的漏洞,允許在使用Struts...
-
T0x00 起因 實際案子的時候遇到了一個注入,過狗可以使用sqlmap,但是是基於時間的注入和限制頻率需要使用--delay參數,本來就是延時再加上--delay等的心力憔悴。所有有了下面介紹使用sqlmap利用DNS進行oob(out of...
-
T0x01前言 在Smart Install Client代碼中發現了基於堆棧的緩衝區溢出漏洞,該漏洞攻擊者無需身份驗證登錄即可遠程執行任意代碼。 cisco Smart...
-
TSQL注入9種繞過WAF方法 0x01前言 WAF區別於常規防火牆是因為WAF能夠過濾特定Web應用程序的內容,而常規防火牆則充當服務器之間的防禦門。通過檢查HTTP的流量,它可以防禦Web應用安全漏洞,如阻止來自SQL注入、跨站點腳本(XSS)、文件包含和安全配置錯誤。...
-
T常见 Bypass Disable Functions 方法总结 1 背景 PHP.ini 中可以設置禁用一些危險函數,例如eval、exec、system 等,將其寫在php.ini 配置文件中,就是我們所說的disable_functions...
-
T反序列化攻击涉及到的相关协议 RMI 和JNDI 都是Java 分佈式中運用較多的技術,JRMP 遠程消息交換協議,運行於Java RMI 之下,是一種底層傳輸協議。 如果拿Web 應用來舉例子,那麼RMI 就像是HTTP 協議,JNDI 就像是Apache HTTP...
-
T0x01 前言 MS17-010 的psexec是針對Microsoft Windows的兩款最受歡迎的漏洞進行攻擊。 CVE-2017-0146(EternalChampion/EternalSynergy) - 利用事務請求利用競爭條件...