Bin-go

摘要： 漏洞描述 攻击者可以通过发送一个特别制作的2进制payload，在组件将字节反序列化为对象时，触发并执行构造的payload代码。该漏洞主要是由于在处理ObjectInputStream时，接收函数对于不可靠来源的input没有过滤。可以通过给TcpSocketServer和UdpSocketSer 阅读全文

摘要： 简介 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里 阅读全文

摘要： 漏洞描述Apache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用，同时也能提供健壮的安全性。Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对reme 阅读全文

摘要： 漏洞特征： shiro反序列化的特征：在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段 靶场搭建 cd /vulhub-master/shiro/CVE-2016-4437 docker-compose up -d访问 http://ip:8080 漏洞特征检测 阅读全文

摘要： 默认密码存放位置 sudo cat /etc/mysql/debian.cnf 使用user和password登陆后输入 show databases;use mysql; 查看数据库版本： SELECT VERSION();对于新版的MySQL（MySQL 5.7.6 及以上版本），您可以使用以下 阅读全文

摘要： cmd输入 reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings” /v FlightSettingsMaxPauseDays /t reg_dword /d 5000 /f 阅读全文

摘要： 第一种方式： 上传文件只需在shell终端仿真器中输入命令"rz",即可从弹出的对话框中选择本地磁盘上的文件，利用Zmodem上传到服务器当前路径下。 下载文件只需在shell终端仿真器中输入命令"sz 文件名",即可利用Zmodem将文件下载到本地某目录下。 通过"File Transfer"可以 阅读全文

摘要： Burt Force(暴力破解漏洞) 概述：连续性尝试+字典+自动化（攻击者在不知道目标账号和密码的情况下进行尝试性的登录，在这个尝试的过程中，会使用一些自动化的工具和一个特定的字典，比如一个账号密码库，实现一个高效的自动化的连续的尝试性登录，从而得到一些有效的账户和密码）字典：一个有效的字典可以大 阅读全文

摘要： 安装环境：windows11 安装AWVS时需要注册⽤户名和密码，密码⻓度要求⾄少8位，且最少包含三种字符，建议阅读提示设置 密码。 下载： 链接：https://pan.baidu.com/s/1whkyOPG3lsQ2VImGoavW8A?pwd=41al 提取码：41al 1.下载并解压AWV 阅读全文

摘要： 介绍： ngx_lua_waf是⼀个基于ngx_lua的web应⽤防⽕墙。 主要⽤途有： 防⽌sql注⼊，本地包含，部分溢出，fuzzing测试，xss,SSRF等web攻击 防⽌svn/备份之类⽂件泄漏 防⽌ApacheBench之类压⼒测试⼯具的攻击 屏蔽常⻅的扫描⿊客⼯具，扫描器 屏蔽异常的⽹ 阅读全文