记一次SRC高危逻辑漏洞挖掘
原文链接:https://xz.aliyun.com/news/18557置空鉴权字段不仅仅在登录口,在查询处,鉴权处都是很经典的思路如jwt置空加密字段,个人信息置空回显站点全部信息,最简单的思路往
阅读全文AI安全:智能安全体系解析(免费送书)
生成式人工智能(Generative AI,GenAI)是近年来人工智能(AI)领域发展最为迅速且引人注目的分支之一。它的出现不仅革新了诸如自然语言处理、图像生成、自动化内容创作等领域,还在医疗、金融
阅读全文SRC挖掘之“捡”洞系列
原文链接:https://forum.butian.net/share/4474在SRC挖掘中,当输入单引号,出现报错,会不会高兴的跳起来,然后打开sqlmap,level设到最高,以为自己竟然能捡到
阅读全文1Panel未授权RCE漏洞分析
原文链接:https://xz.aliyun.com/news/18576前言刚睡醒,就看到群里都在转发一个洞,而且官方还很贴心,代码和思路都有,那就也来跟着学习思路了1Panel hvv 倒是遇到了
阅读全文EDUSRC、CNVD挖洞技巧分享
前言声明:文章所涉及漏洞案例均在多月前已提交至相关平台进行修复,且所涉及的敏感信息均已做打码处理本文章仅用于网络安全技术研究与合法授权环境下的学习交流,旨在增强信息安全意识、提升防御能力,不构成对任何
阅读全文Java内存马篇——WebSocket内存马及GodZilla二开
原文首发在:先知社区https://xz.aliyun.com/news/18420前言一个月前写的,当时正在做webshell相关的工作,刚好看到stoocea师傅发的文章,便也有了自己实现一个We
阅读全文【7.10】-威胁情报汇总
漏洞情报:信呼 OA:uploawAction.php 存在 SQL 注入漏洞,网传利用路径为 /index.php/webmain/task/api/uploawAction.php(在野利用)用友
阅读全文【7.9】-威胁情报汇总
汉王 e 脸通综合管理平台存在多处漏洞,包括 EFaceGo upload.do 任意文件上传漏洞、wxLogin.do 敏感信息泄露漏洞、addVisitDeviceAppointmentInfoT
阅读全文【7.8】-威胁情报汇总
漏洞情报:浙江大华技术股份有限公司 DSS 前台 SSRF 漏洞普华科技 PowerPms ForgotPassword SQL 注入漏洞博采 CMS 文件上传漏洞PWS Dashboard 任意文件
阅读全文【7.4】-威胁情报汇总
漏洞情报:● 易宝 OA:getPosition 存在 SQL 注入漏洞● 汉王 e 脸通综合管理平台:getGroupEmployee.do 存在 SQL 注入漏洞● 紫光档案管理系统:存在任意文件
阅读全文【7.3】-威胁情报汇总
一、SQL 注入漏洞类百易资管云 org.edit.php SQL 注入漏洞:此类漏洞源于代码对用户输入的 SQL 语句过滤不严格,攻击者可通过构造恶意 SQL 语句非法访问或篡改数据库,对系统数据安
阅读全文域渗透-横向移动手法总结
前言:在内网渗透中,域内横向移动是一种常见的攻击手法。攻击者会利用此技术,以被攻陷的系统为跳板,访问域内其他主机,扩大资产(包括跳板机中的文档和存储的凭证,以及通过跳板机连接的数据库,域控制器等其他重
阅读全文从白帽角度浅谈SRC业务威胁情报挖掘与实战
原文首发在:先知社区https://xz.aliyun.com/news/183221 前⾔已是凌晨三点,想着写点什么,发现互联⽹上针对漏洞相关⽂章资源较多,⽽威胁情报相关内容却是少之⼜少。便创作此⽂
阅读全文速来!送《基于 CyberChef 的恶意样本分析指南》*3
前言: 在网络攻击无孔不入的今天,恶意软件如同隐藏在暗处的 “数字幽灵”,时刻威胁着个人隐私与企业数据安全。无论是窃取信息的木马,还是加密勒索的病毒,都让人防不胜防。如何精准识别并化解这些
阅读全文Shiro注入反序列化内存马流程
原文首发在:先知社区https://xz.aliyun.com/news/18263Apache Shiro是一个轻量级 Java 安全框架,核心功能包括:认证、授权和会话管理。 框架存在反序列化设计
阅读全文cs免杀loader2(bypass360,火绒6.0,defender)
原文首发在:先知社区https://xz.aliyun.com/news/18194昨天写的一个,实测过御三家,分享一下吧老规矩,我们先看效果效果展示1.bypass360测试时间是2025年6月6日
阅读全文高级免杀对抗&红队武器化开发六期来袭!!!
高级免杀对抗&红队武器化开发六期来袭本次培训解释权归鬼屋女鬼所有,与公众号运营者无关公众号不参与盈利,仅帮宣传!高级杀软对抗与红队武器化开发课程加入我们,直面真实对抗,锻造攻防利刃 !真实环境对抗演
阅读全文浅谈S3标准下存储桶应用中的安全问题
原文首发在:奇安信攻防社区https://forum.butian.net/share/4340什么是存储桶 想象存储桶就像你家里的一个大柜子,专门用来存放各种物品(文件)。在阿里云对象存储服务(OS
阅读全文手慢无!隐雾SRC(第七期)白嫖继续
.5202隐雾Src第七期/坚持从0-1匆忙了三年终于找到了自己的定位希望我们的课程能帮大家实现从0-11 课程介绍 课程旨在帮助学员从0到1实现漏洞挖掘能力的突破。五个阶段助力从0到1阶段一
阅读全文cyberstrikelab lab8 wp
信息收集先看看fscan全端口扫描记录存在一个cms网站去看看去找找这个zzzcms的漏洞Zzzcms 1.61 后台远程命令执行漏洞先弱口令 admin /admin123456 进入后台然后直接修
阅读全文议程大公开,精彩内容抢先看 | 蚂蚁SRC年度TOP颁奖盛典&安全交流会来袭
6月14日杭州,蚂蚁SRC年度活动来啦议程大公开,精彩内容抢先看!由清华大学&中关村实验室、Johns Hopkins等顶级高校带来的大模型前沿研究成果,与通义千问、豆包等知名大模型安全负责人带来的实
阅读全文解锁 AI 新玩法:快速搭建攻防知识文库
项目:PandaWiki1、项目介绍:PandaWiki 是一款 AI 大模型驱动的开源知识库搭建系统,帮助你快速构建智能化的 产品文档、技术文档、FAQ、博客系统,借助大模型的力量为你提供 AI 创
阅读全文高级免杀对抗&红队武器化开发六期来袭!!!
高级免杀对抗&红队武器化开发六期来袭本次培训解释权归鬼屋女鬼所有,与公众号运营者无关公众号不参与盈利,仅帮宣传!高级杀软对抗与红队武器化开发课程加入我们,直面真实对抗,锻造攻防利刃 !真实环境对抗演
阅读全文记某众测Fastjson<=1.2.68反序列化RCE过程
原文首发在:先知社区https://xz.aliyun.com/news/17489前言在某次众测过程中使用搜索引擎找到某单位部署的旁站,通过前端JS信息分析找到一处ssrf漏洞。在ssrf测试时根据
阅读全文内网对抗-横向移动手法大全
原文首发在:先知社区https://xz.aliyun.com/news/18020收集到域内用户和凭据后,为后续利用各种协议密码喷射通讯上线提供条件。这里注意域内域外是有差异的。我们需要判断当前获得
阅读全文年中钜惠|网安 618 福利!免费课 + 大额红包速领
没错!你没看错!!!今年618年中大促,玩大的!无套路!真优惠!福利一:大额返现!5月20日起前200个报名活动课程的学员最高返现800元!福利二:1000个免费培训!1000个免费培训名额,凡转发指
阅读全文[HTB] 靶机学习 Bucket
原文首发在:先知社区https://xz.aliyun.com/news/17998端口扫描nmap -sC -sV 10.10.10.21222/tcp open ssh OpenSSH
阅读全文绕RASP之内存马后渗透浅析
原文首发在:奇安信攻防社区https://forum.butian.net/share/4338在RASP的防御下,如何绕过waf以达到反序列化,进而RCE呢?题目:在邑网杯线下赛有题Springbo
阅读全文