随笔分类 - web安全
摘要:目前网上的资源整理不是针对入门玩家,都需要一定的java漏洞调试基础,本文从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并复现漏洞触发,拥有属于自己的一套漏洞调试环境。 0x01 Fastjson简介 Fastjson 是Alibaba的开源JSO
阅读全文
摘要:前言 前一段时间都在挖edu src,为了混几个证书,中间陆陆续续也挖到好几枚系统的通杀吧,不过资产都不多,都是黑盒测试出来的,没啥技术含量。只有这次挖到的这枚通杀稍微有那么一点点价值,从外网web一步步深入最后服务器提权,拿下整台服务器桌面权限。 本文涉及相关实操:SQL注入原理与实践 本实验介绍
阅读全文
摘要:曾经的我,以为挖掘cnvd是一个非常遥不可及的事情,注册资产5000万黑盒10案例(目前还不会代码审计吖,后续会努力学习吖!)这个门槛就已经难住我了(脚本小子的自述)。 本文涉及相关实验:利用sqlmap辅助手工注入 (本实验主要介绍了利用sqlmap辅助手工注入,通过本实验的学习,你能够了解sql
阅读全文
摘要:本文首发于“合天智汇”公众号 作者:ordar123 声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关! 1. 漏洞环境搭建 github上下载对应版本,这里下载3.7.0. https://github.com/bolt/bolt/relea
阅读全文
摘要:本文首发于“合天智汇”公众号 作者:SRainbow 关于动态代码防御机制,是自己瞎取的名字,目前我还没有看到过类似的文章。如果有前辈已经发表过,纯属巧合!!!我仅是突发奇想的一个想法,说不上高大上。也就是想说出这个想法。说不定各位在座的大佬有更好的想法去完善这个方案! 动态代码防御机制介绍 现在的
阅读全文
摘要:本文首发于“合天智汇”公众号,作者: 影子 各位大师傅,第一次在合天发文章,请多多关照 今年年初的疫情确实有点突然,打乱了上半年的所有计划(本来是校内大佬带我拿奖的时刻,没了 ,学长毕业了,就剩下我这个小垃圾带着下一届去搞ctf了,难啊,难啊) 0x01 这个站是我疫情时候在线上网课的平台,本着对信
阅读全文