会员
周边
众包
新闻
博问
闪存
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
mt0u的Blog
博客园
首页
新随笔
联系
订阅
管理
2024年3月21日
XSS 从 PDF 中窃取数据
摘要:
将服务器端 XSS 注入到动态生成的 PDF 中窃取数据
阅读全文
posted @ 2024-03-21 10:29 mt0u
阅读(749)
评论(1)
推荐(4)
编辑
2024年3月6日
JDBC反序列化
摘要:
Mysql JDBC 中包含一个危险的扩展参数: “autoDeserialize”。这个参数配置为 true 时,JDBC 客户端将会自动反序列化服务端返回的数据,造成RCE漏洞。
阅读全文
posted @ 2024-03-06 14:59 mt0u
阅读(276)
评论(0)
推荐(0)
编辑
2024年2月27日
struts2-66漏洞复现
摘要:
Apache Struts2 是一个开源的 Java Web 应用程序开发框架,旨在帮助开发人员构建灵活、可维护和可扩展的企业级Web应用程序。经过分析和研判,该漏洞利用难度低,攻击者可以通过污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码。
阅读全文
posted @ 2024-02-27 11:51 mt0u
阅读(51)
评论(0)
推荐(0)
编辑
2024年1月4日
OfficeWeb365任意文件读取
摘要:
OfficeWeb365 /Pic/Indexs接口处存在任意文件读取漏洞,攻击者可通过独特的加密方式对payload进行加密,读取任意文件,获取服务器敏感信息,使系统处于极不安全的状态。
阅读全文
posted @ 2024-01-04 17:37 mt0u
阅读(795)
评论(0)
推荐(1)
编辑
2023年10月10日
通过社工进网站后台
摘要:
记录一次通过简单社工获取信息后进入后台的经过。打开思路,利用我们所有能够捕获的信息并串联起来。
阅读全文
posted @ 2023-10-10 09:21 mt0u
阅读(74)
评论(0)
推荐(0)
编辑
2023年9月11日
python一键过杀软
摘要:
利用python加载shellcode,生成木马过360、火绒等杀毒软件
阅读全文
posted @ 2023-09-11 17:11 mt0u
阅读(505)
评论(0)
推荐(2)
编辑
2023年8月29日
Badusb制作,远程别人电脑
摘要:
插一下U盘黑一台电脑,插了我的U盘你可就是我的脑了,(*^▽^*)
阅读全文
posted @ 2023-08-29 09:22 mt0u
阅读(939)
评论(0)
推荐(5)
编辑
2023年8月17日
记录一次内网渗透过程
摘要:
通过外网撕开缺口,绕过360火绒杀软进内网测试。
阅读全文
posted @ 2023-08-17 09:06 mt0u
阅读(1260)
评论(5)
推荐(11)
编辑
2023年8月14日
新一代Kerberos攻击 钻石票据与蓝宝石票据
摘要:
在了解票据攻击的过程中,看见了一篇文章使用Rubeus进行钻石票据攻击。但是没有原理,于是抱着学习的心态在Google上寻找文章发现除了钻石票据还有蓝宝石票据。
阅读全文
posted @ 2023-08-14 09:11 mt0u
阅读(1380)
评论(1)
推荐(0)
编辑
2023年6月7日
SRC赏金猎人—笔记二
摘要:
js接口-未授权访问-密码爆破
阅读全文
posted @ 2023-06-07 10:16 mt0u
阅读(121)
评论(0)
推荐(0)
编辑
下一页