渗透技巧
构造java探测class反序列化gadget
0x01 背景你是否遇到过这样的情况,黑盒环境下有一个序列化入口。你将ysoserial所有gadget的测试了一遍,均无法RCE。由于没有报错信息,你根本无...
每日安全动态推送(12-31)
Tencent Security Xuanwu Lab Daily News• Attacking Java RMI via SSRF:https://blog.tneitzel.eu/posts/01-attacking-java-rmi-via-ssrf/ ...
新年献礼:使用 Yakit 打破 Java 序列化协议语言隔离
01背景 众所周知,在使用 Java 编写漏洞利用或检测时,ysoserial 或类似工具会构造一个特定的执行命令的对象,然后进行序列化,作为用户...
Beacon C2Profile 解析
这是[信安成长计划]的第 3 篇文章0x00 目录0x01 Controller 端分析0x02 Beacon 端分析0x03 展示图在上一篇文章中完成了 Stageless Beacon 生成的分...
【最新漏洞预警】IBM WebSphere Portal 多个未授权SSRF&RCE漏洞深入分析
关注公众号回复“漏洞”获取研究环境或工具漏洞信息IBM WebSphere Portal是一种用于构建和管理 Web 门户的企业软件,提供对Web内容和应用程序的访问,同时为用...
【高危】CVE-2021-43798 GRAFANA 路径遍历漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及...
每日安全动态推送(12-30)
Tencent Security Xuanwu Lab Daily News• [Web] Turning bad SSRF to good SSRF: Websphere Portal:https://blog.assetnote.io/2021/12/26/chaine...
渗透文章分享(4)——安全论坛和博客
现在互联网越来越倾向于封闭,很多技术交流已经转入知识星球和公众号,以下是我常去看的论坛和博客,打分仅代表个人意见。★★★安全门户网站★★★★freebuf,有非...
域内最新提权漏洞原理深入分析
域内最新提权漏洞原理深入分析注:本文只做漏洞原理分析,只做技术交流,切勿用于非法用途。作者:谢公子@深信服深蓝攻防实验室目录漏洞背景和描述2021年11月...
初识Java内存马检测
近些年,无文件攻击技术越来越流行。本文旨在介绍无文件攻击中最为流行的一种技术——Java内存马,让企业、用户了解和重视其危害性,提高防范意识,降低安全风...