2022年11月15日
【CVE-2022-0543】Redis Lua沙盒绕过命令执行复现
摘要: 免责声明: 本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。 0x00 漏洞简介 Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(330) 评论(0) 推荐(0)
fastjson远程代码执行漏洞
摘要: fastjson漏洞学习记录 免责声明:Fastjson 1.2.24 远程代码执行漏洞漏洞说明前提条件影响范围漏洞复现 Fastjson<=1.2.47 远程代码执行漏洞Fastjson各个版本的一些POC绕waf小技巧探测是否存在fastjson回显报错使用dnslog探测 免责声明: 本文章仅 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(717) 评论(0) 推荐(0)
【红队技巧】Windows存储的密码获取
摘要: 【红队技巧】Windows存储的密码获取 免责声明:使用前提支持版本利用方式参考: 免责声明: 本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。 使用前提 需 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(485) 评论(0) 推荐(0)
安卓APP和小程序渗透测试技巧总结
摘要: 安卓APP和小程序渗透测试技巧总结 免责声明:安卓7以上抓取https流量包证书信任首先安装OpenSSL,此步骤不再赘述,可以参考百度。然后安装模拟器(我使用的是夜神模拟器)。导出需要的证书使用openssl进行证书转换证书安装问题解决 电脑端抓微信小程序的包 免责声明: 本文章仅供学习和研究使用 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(875) 评论(0) 推荐(1)
Json web token(JWT)攻防
摘要: 免责声明: 本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。 JWT介绍 JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(410) 评论(0) 推荐(0)
MySQL提权总结
摘要: MySQL提权总结 免责声明:udf提权原理:利用条件:复现:dll文件写入-编码写入dll文件写入-sqlmap写入 mof提权原理:复现: 反弹端口提权原理:复现: 写webshell原理: mysql日志写shell原理:复现: 启动项提权原理:复现: 参考 免责声明: 本文章仅供学习和研究使 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(446) 评论(0) 推荐(0)
Microsoft Office MSDT代码执行漏洞(CVE-2022-30190)漏洞复现
摘要: 目录 免责声明:CVE-2022-30190漏洞复现漏洞概述:影响版本:漏洞复现:使用方法:利用: 修复建议:参考: 免责声明: 本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(455) 评论(0) 推荐(0)
Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)漏洞复现
摘要: 目录 免责声明:Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)漏洞复现漏洞概述:影响版本:漏洞复现:利用POC:利用过程: 修复建议:参考 免责声明: 本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(1305) 评论(0) 推荐(0)
Redis的攻击手法
摘要: 目录 Redis概述Redis未授权漏洞发现漏洞验证 Redis写shell漏洞利用 Redis写公钥漏洞利用 主从复制RCE漏洞简介:漏洞利用 计划任务反弹shell漏洞利用 Redis Lua沙盒绕过命令执行漏洞介绍:利用条件:利用方式: Redis在Windows下利用方式介绍:写webshe 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(355) 评论(0) 推荐(0)
国产图形化的msf——Viper初体验
摘要: 目录 免责声明:Viper简介安装使用 免责声明: 本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。 Viper简介 简单来说就是图形化的MSF,可以让用户在 阅读全文
posted @ 2022-11-15 20:38 知冰 阅读(1340) 评论(0) 推荐(0)