巧用Chrome-CDP远程调用Debug突破JS逆向
文章首发在:奇安信攻防社区https://forum.butian.net/share/4062CDP远程调用非常方便,他允许我们直接可以通过代码来操作浏览器完成一系列行为,希望通过我的这篇文章让师傅
阅读全文小程序渗透记录 通过细节挖掘漏洞的艺术
原文首发:奇安信攻防社区https://forum.butian.net/share/4229近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习!免
阅读全文速查!免费微信好友关系检测工具,WechatRealFriends
WechatRealFriends声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非
阅读全文攻防|记一次攻防和产品对抗
本文主要介绍了医疗行业在无资产的场景下的一些测试思路以及在打点、内网过程中一些安全产品对抗相关的内容,涉及waf绕过、上线技巧、提权绕过杀软、特定条件下隧道链等,针对整体的攻击过程进行相关总结,以及针
阅读全文紧急收藏!揭秘360应急响应手册(附PDF)
网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全的一系列措施。是网安人必须要学习了解的内容。今天分享一份超牛的《应急响应指导手册》,传说是360大佬编写的,
阅读全文从域认证协议以及密码凭据机制的角度来看内网渗透
原文链接:https://forum.butian.net/share/4191本文记录了内网渗透中主机之间的认证以及横向,域渗透相关的协议以及思路的多种方式,windows密码抓取主机登录验证(NT
阅读全文记一次奇妙的降价支付逻辑漏洞挖掘之旅
原文链接:https://forum.butian.net/share/4204字字经典,本文以上帝视角,带你洞察整个主流支付功能背后的逻辑,之后再轻挥衣袖,实现降价支付!漏洞挖掘 逻辑漏洞 一次奇妙
阅读全文记一次开源OA组合拳RCE漏洞审计过程
原文链接:https://xz.aliyun.com/news/17273一、漏洞详情 某开源OA存在前台SQL注入和后台RCE漏洞,可以用SQL注入跑出来后台账号密码,登录后打后台RCE,组合拳达到
阅读全文【2025HW招聘】- 河南宁云志来了
河南宁云志25年国HW招聘前言:2025国家级护网将要开始,我们开启人才筹备计划。此计划旨在为甲方提供高质量安全服务,为师傅们提供稳定可靠的HW项目岗位。公司简介河南宁云志科技有限公司,是一家专注网络
阅读全文记一次某大厂csrf漏洞通过蠕虫从低危到高危
文章首发在:奇安信攻防社区https://forum.butian.net/share/4190本文记载了笔者src漏洞挖掘的经历,如何将一个简单的csrf提高至高危的程度初见端倪在上传的头像的点位:
阅读全文记一次漏洞挖掘过程中的SQL注入浅浅绕过记录
文章首发在:先知社区https://xz.aliyun.com/news/170770x00 文章背景日常测试时发现客户网站存在注入,我看着这界面的样子就像是个CMS来的,搜集一会之后确认了,果然是。
阅读全文国产 WAF 封神!BAT 力捧,15.6K Star 下零成本 KO 黑产
在Web攻击日益复杂化的今天,传统基于规则库的WAF(Web应用防火墙)已难以应对新型攻击手段。长亭雷池WAF以其**“智能语义分析算法”和动态防护技术**,重新定义了Web安全防护的边界。根据个人
阅读全文Java代码审计 | 一次开源商城系统
任意文件上传漏洞:管理员后台文件添加位置:数据包:POST /tmall/admin/uploadCategoryImage HTTP/1.1Host: 172.20.10.3:8080User-Ag
阅读全文逆向Java反序列化:从漏洞挖掘者的视角拆解CC1链的发现与构造
前言Apache Commons Collections 是一个开源的 Java 工具类库,属于 Apache Commons 项目的一部分。它提供了许多扩展和增强标准 Java 集合框架的功能,帮助
阅读全文沈阳深蓝25HW一轮统招启动!
愿您的第一次hw从沈阳深蓝开启!2025沈阳深蓝 HW一轮招录(统招)启动! 单位简介沈阳深蓝安全信息科技有限公司是一家专业的安全服务公司,我单位自2020年以公司的形式开展业务,至今已是第六年,因
阅读全文年薪154W!真心建议网安人冲一冲新兴领域,工资高前景好
最近,Deepseek全球爆火让AI技术又一次进入了快速发展期!百度、字节、腾讯等等巨头互联网公司,纷纷接入DeepSeek,加速落地AI应用!这让「大模型应用开发工程师」一跃成为炙手可热的岗位!De
阅读全文大一“新生”年入100万+,别人称他天才小火炬
前言2024网安界跑出一匹引人瞩目的黑马仅用一年挖洞收入突破100万+的百万赏金猎人2024腾讯SRC年榜第一而就在这一年前他仅仅是一个因为挂科留级的大一“新生”他说,他是天才小火炬2024 创造挖洞
阅读全文记一次某开源OA白名单后缀限制下巧用系统设计getshell
原文链接:https://forum.butian.net/share/4132白名单后缀限制下巧用系统设计getshell0x01 路由情况该 OA 的 action 主要是在 webmain 目
阅读全文域渗透之cyberstrikelab—Thunder
文章首发在:先知社区原文链接:https://xz.aliyun.com/news/16753入口机信息收集连上openvpn自动跳转到ThinkPHP页面漏洞发现利用ThinkPHP综合利用工具梭哈
阅读全文从deepseek未授权探索clickhouse命令执行
文章首发在:奇安信攻防社区https://forum.butian.net/share/4155探索clickhouse利用方式0x01 简介DeepSeek近期因未授权漏洞事件而引发严重的安全争议,
阅读全文从deepseek未授权探索clickhouse命令执行
文章首发在:奇安信攻防社区https://forum.butian.net/share/4155探索clickhouse利用方式0x01 简介DeepSeek近期因未授权漏洞事件而引发严重的安全争议,
阅读全文顺丰SRC第三届白帽技术沙龙预约开启!
【全国各省及国际白帽给顺丰SRC发来祝福!】赶紧扫码预约本技术沙龙直播吧!大咖干货分享及80+份豪礼在线等你!【文末福利】参与方式1:转发本文到朋友圈+集赞20个参与方式2:转发本文到200+人以上大
阅读全文DeepSeek本地化部署有风险!快来看看你中招了吗?
2025年伊始,AI领域迎来一个重要变革 - DeepSeek R1开源发布,凭借着低成本、性能出众的优势,这个模型在短短几周内就获得空前关注。由于官网服务经常繁忙,大家开始选择使用Ollama+Op
阅读全文速看!Src 第六期,别浪
.4202隐雾Src第六期/稳住,别浪2023年开第一期Src培训的时候没想到自己能开到第六期,既然已经第六期了,那就告诫自己“稳住,别浪”我们坚持“一群普通的人做好一件简单的事”1 本期特色10人
阅读全文使用分支对抗进行webshell bypass
文章首发在:先知社区https://xz.aliyun.com/t/17029前言对于webshell免杀来说,类绕过是最有效果且不易被检测出来的,那如果我们对类进行操作,在类里面加入一些算法和混淆代
阅读全文