09 2024 档案

小白生于天地之间,岂能郁郁难挖高危?
摘要:想要在挂了WAF的站点挖出高危,很难,因为这些站点,你但凡鼠标点快点,检测出了不正确动作都要给你禁IP,至于WAF绕过对于小白更是难搞。其实在众测,大部分漏洞都并非那些什么SQL注入RCE等等,而小白想要出高危,可能也只有寄托希望与未授权。 阅读全文
posted @ 2024-09-30 09:07 蚁景网安实验室 阅读(66) 评论(0) 推荐(0) 编辑
深度学习后门攻击分析与实现(二)
摘要:深度学习作为人工智能的一部分,在许多领域中取得了显著的进展。然而,随着其广泛应用,深度学习模型的安全性也引起了广泛关注。后门攻击就是其中一种重要的威胁,尤其在网络空间安全领域中。 阅读全文
posted @ 2024-09-27 08:58 蚁景网安实验室 阅读(195) 评论(0) 推荐(0) 编辑
Kernel Stack栈溢出攻击及保护绕过
摘要:本文介绍Linux内核的栈溢出攻击,和内核一些保护的绕过手法,通过一道内核题及其变体从浅入深一步步走进kernel世界。 阅读全文
posted @ 2024-09-23 17:30 蚁景网安实验室 阅读(54) 评论(0) 推荐(0) 编辑
逆向中巧遇MISC图片隐藏
摘要:这道题比较有意思,而且因为我对misc并不是很熟悉,发现该题目将flag隐藏在图片的颜色属性,巧妙的跟踪到这些密文位置,拿下题目一血,还是很有参考学习意义的。 阅读全文
posted @ 2024-09-20 17:02 蚁景网安实验室 阅读(35) 评论(0) 推荐(0) 编辑
深度学习后门攻击分析与实现(一)
摘要:在计算机安全中,后门攻击是一种恶意软件攻击方式,攻击者通过在系统、应用程序或设备中植入未经授权的访问点,从而绕过正常的身份验证机制,获得对系统的隐蔽访问权限。这种“后门”允许攻击者在不被检测的情况下进入系统,执行各种恶意活动。 阅读全文
posted @ 2024-09-19 09:40 蚁景网安实验室 阅读(392) 评论(0) 推荐(0) 编辑
Apache OFBiz远程代码执行漏洞(CVE-2024-38856)
摘要:Apache OFBiz 是一个开源的企业资源规划系统,提供了一整套企业管理解决方案。Apache OFBiz 在处理 view 视图渲染的时候存在逻辑缺陷,未经身份验证的攻击者可通过构造特殊 URL 来覆盖最终的渲染视图,从而执行任意代码。 阅读全文
posted @ 2024-09-12 16:24 蚁景网安实验室 阅读(311) 评论(0) 推荐(0) 编辑
如何通过组合手段大批量探测CVE-2024-38077
摘要:近期正值多事之秋,hvv中有CVE-2024-38077专项漏洞演习,上级police也需要检查辖区内存在漏洞的资产,自己单位领导也收到了情报,在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍,本文重点关注如何满足大批量探测的需求。 阅读全文
posted @ 2024-09-10 11:22 蚁景网安实验室 阅读(148) 评论(0) 推荐(0) 编辑
靶场战神为何会陨落?
摘要:我从第一个SQL注入漏洞原理学起,从sql-libas到DVWA,到pikachu再到breach系列,DC系列靶场,再到实战挖洞,发现靶场与实战的区别是极其大的。本文将以DC系列靶场为例子,分析靶场与实战的区别,同时分享实战思路与需要用到的一些工具插件。 阅读全文
posted @ 2024-09-04 11:09 蚁景网安实验室 阅读(71) 评论(0) 推荐(0) 编辑
大模型隐私泄露攻击技巧分析与复现
摘要:大型语言模型,尤其是像ChatGPT这样的模型,尽管在自然语言处理领域展现了强大的能力,但也伴随着隐私泄露的潜在风险。在模型的训练过程中,可能会接触到大量的用户数据,其中包括敏感的个人信息,进而带来隐私泄露的可能性。 阅读全文
posted @ 2024-09-03 09:45 蚁景网安实验室 阅读(393) 评论(0) 推荐(0) 编辑