10 2022 档案

kerberos认证学习
摘要:kerberos 首先阐释一下TGT和TGS TGT:kerberos hash(login session key,client info) golden(黄金票据) 如果是服务hash被获取就会产生白银票据(白银票据不能用于双向认证) s(服务) >DC(域控) >AD(数据库查询) 1.AS- 阅读全文
posted @ 2022-10-24 15:07 猫鳍 阅读(99) 评论(0) 推荐(0) 编辑
更新一下我的基于ceye的poc框架
摘要:import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import com.sun.org.apache.xerces.internal.util.URI; import javax.net.ssl.*; 阅读全文
posted @ 2022-10-06 16:58 猫鳍 阅读(35) 评论(0) 推荐(0) 编辑
代码审计小tips(一)
摘要:代码审计的源码获取 通过fofa进行指纹识别提取关键指纹 将获取到的关键信息去github和gitee进行获取 源码网站如站长之家,zuidaima.com,bbs52jscn.com 拖源码,获取目标权限拖源码 同指纹站点目录扫描 代码审计工具 SpotBugs fortify scan code 阅读全文
posted @ 2022-10-03 19:59 猫鳍 阅读(98) 评论(0) 推荐(0) 编辑
记录一下针对于webshell花式绕waf直指免杀(持续更新中)
摘要:反射绕过 关键代码保存至变量绕过 本地远程文件读取的方式绕过; ascii-byte数组绕过 转置绕过 表达式绕过 字符串拼接 processBuilder.start()替代 Runtime.getRuntime 逻辑运算,算术运算绕过 编解码绕过 加解密绕过 bash编码(整条字符串可控情况下可 阅读全文
posted @ 2022-10-03 19:38 猫鳍 阅读(29) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示