上一页 1 2 3 4 5 6 ··· 13 下一页
摘要: 前言 本篇记录一下审计中的XXE漏洞 0x01 关于XXE 关于DTD XXE(XML External Entity Injection) 全称为 XML 外部实体注入,这也是一个注入,但是需要注意的是这里注入的是XML外部实体,普通的xml注入几乎没有危害。那什么是外部实体? XML 文档有自己 阅读全文
posted @ 2022-02-08 22:40 N0r4h 阅读(599) 评论(0) 推荐(0) 编辑
摘要: 前言 本篇记录一下java代码审计的XSS漏洞需要关注的点。 0x01 XSS漏洞分析 XSS产生 后台未对用户输入进行检查或过滤,直接把用户输入返回至前端。导致javascript代码在客户端任意执行。 代码举例 public void Message(HttpServletRequest req 阅读全文
posted @ 2022-02-02 00:23 N0r4h 阅读(381) 评论(0) 推荐(0) 编辑
摘要: 前言 此篇不是最终版,后续会重新整理测试完善 0x01 原理 https://blog.csdn.net/RivenDong/article/details/102872132 0x02 实战使用 0x03 修过记录 1.流量特征 路径:/pkg/msg/msg.go 上面得注释说的很清楚 当客户端 阅读全文
posted @ 2022-01-27 00:11 N0r4h 阅读(3750) 评论(0) 推荐(1) 编辑
摘要: 前言 URLDNS链算是反序列化利用链中比较简单的了,这条链的主要作用就是用于判断是否存在Java反序列化漏洞。因为没有jdk版本限制,并且只依赖原生类,所以在测试过程中用的还是很多的,本篇记录分析一下这条链。 0x01 URLDNS链使用 这里为了方便调试,直接把ysoserial项目导入idea 阅读全文
posted @ 2022-01-24 20:14 N0r4h 阅读(815) 评论(0) 推荐(0) 编辑
摘要: 前言 准备记录一下关于实战中钓鱼邮件发送的一些过程和细节问题,计划分为两篇文章,上篇记录快速搭建一个匿名的钓鱼邮服(此方法也可用于CS域前置),下篇主要说明邮件发送的过程、spf、批量发送的问题 0x01 域名注册 1. 账号注册 链接:https://www.freenom.com 在合作伙伴-开 阅读全文
posted @ 2022-01-14 01:25 N0r4h 阅读(853) 评论(0) 推荐(0) 编辑
摘要: 文章首发先知:https://xz.aliyun.com/t/10528 0x01 前言 目前在一些攻防项目中,由于外网越来越不好打,钓鱼这种攻击手段,一旦成功就显的省时省力。最近攻防遇到了一家互联网大厂,所有员工使用的都是mac主机,这也是第一次钓mac。研究过程中发现网上这方面分享比较少,这里记 阅读全文
posted @ 2021-12-28 23:08 N0r4h 阅读(1354) 评论(0) 推荐(0) 编辑
摘要: 0x00 前言 记录一下学习java审计的过程。 0x01 JDBC方式 1. 三个对象: connection connection对象代表数据库 可以设置数据库自动提交。事务提交(connection.commit()),事务回滚(connection.rollback())。 statemen 阅读全文
posted @ 2021-12-28 22:58 N0r4h 阅读(138) 评论(0) 推荐(0) 编辑
摘要: 本篇记录win10下通过编辑文档上传到博客园的过程。 一.Typora 写作很舒服的编辑。 下载:https://www.typora.io/ 二.Typora上传博客园 1. 下载dotnet 链接:https://dotnet.microsoft.com/learn/dotnet/hello-w 阅读全文
posted @ 2021-03-08 15:41 N0r4h 阅读(504) 评论(3) 推荐(3) 编辑
摘要: 第一关: 没有过滤,直接构造payload过关: http://127.0.0.1/xssgame/level1.php?name=test%3Cscript%3Ealert%28111%29%3C/script%3E 第二关: 输入之后观察页面源代码可以看到被转义 Payload:?keyword=test"> 第三关: 输入之后查看源代码发现输出位置都被转义: 然后... 阅读全文
posted @ 2020-05-25 22:01 N0r4h 阅读(733) 评论(0) 推荐(0) 编辑
摘要: 一、概述 nc全称为netcat,所做的就是在两台电脑之间建立链接,并返回两个数据流 可运行在TCP或者UDP模式,添加参数 —u 则调整为udP,默认为tcp -v 参数,详细输出 -n参数,netcat不要DNS反向查询IP的域名 -z参数,连接成功后立即关闭连接 -l参数 监听 -p参数 指定对应端口 -e参数 指定对应的应用程序 二、实验环境 1.Win2003 IP:192.168.... 阅读全文
posted @ 2020-05-19 13:34 N0r4h 阅读(639) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 ··· 13 下一页