摘要： 简介 VMware vCenterServer 提供了一个可伸缩、可扩展的平台，为 虚拟化管理奠定了基础。 VMware vCenter Server（以前称为 VMware VirtualCenter），可集中管理 VMware vSphere 环境，与其他管理平台相比，极大地提高了 IT 管理员 阅读全文

摘要： 0x01 简介 MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code，并且改名为MyBatis。MyBatis是一款优秀的持久层框架，它支持定制化SQL、存储过程以及高级映射。MyBat 阅读全文

摘要： 简介 蜜罐技术是一项已经产生很久的安全技术，普遍运用于情报收集、混淆黑客攻击面、拖延攻击时间。传统的蜜罐刻画的黑客肖像通常只能精确到一级ip，而通常黑客并不直接使用自身ip发起攻击，往往有设置了多层代理，这导致了溯源困难。 然而无论黑客怎么设置代理，攻击的设备一般还是使用自身笔记本，故如果能够获取设 阅读全文

摘要： 0x01 前言 mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix 官方利用截图如下 mimikatz相关命令 l 阅读全文

摘要： 简介 如果在使用yii框架，并且在用户可以控制的输入处调用了unserialize()并允许特殊字符的情况下，会受到反序列化远程命令命令执行漏洞攻击。 该漏洞只是php 反序列化的执行链，必须要配合unserialize函数才可以达到任意代码执行的危害。 该反序列化执行链在今年8月初已经公开，建议使 阅读全文

摘要： 简介 近日，监测到国外安全厂商发布了NetLogon 权限提升漏洞（CVE-2020-1472）的详细技术分析文章和验证脚本。此漏洞是微软8月份发布安全公告披露的紧急漏洞，漏洞评分10分，漏洞利用后果严重，未经身份认证的攻击者可通过使用 Netlogon 远程协议（MS-NRPC）连接域控制器来利用 阅读全文

摘要： 0x01 Thymeleaf简介 Thymeleaf是用于Web和独立环境的现代服务器端Java模板引擎。类似与python web开发中的jinja模板引擎。顺便说一句，Thymeleaf是spring boot的推荐引擎 0x02 基础知识 Spring Boot 本身就 Spring MVC 阅读全文

摘要： 简介 hw前夜，冰蝎发布3.0版本，主要做了一下改动 取消动态密钥获取，目前很多waf等设备都做了冰蝎2.0的流量特征分析。所以3.0取消了动态密钥获取 界面由swt改为javafx，这个没啥说，界面美观大方 下面主要分析一下冰蝎3.0变化 密钥生成 根据readme，aes密钥变为md5("pas 阅读全文

摘要： 简介 朋友圈都在流传下面这个截图 关于 EDR 与 VPN 相关整改建议的pdf的行为分析。很好奇，于是找来团队内大佬要一份样本，开始分析 解析pdf 首先使用PDF Stream Dumper(http://sandsprite.com/blogs/index.php?uid=7&pid=57) 阅读全文

摘要： 影响范围 Struts 2.0.0 - Struts 2.5.20 描述 Apache Struts 2 会对某些标签属性（比如 id）的属性值进行二次表达式解析，并且在 Struts 标签属性内强制进行 OGNL 表达式解析时的情况因此在某些场景下将可能导致远程代码执行。 例如服务端如下写法 <s 阅读全文