记一次爱加密企业版脱壳与反调试绕过
Frida-Dexdump脱壳用于提取DEX文件https://github.com/hluwa/frida-dexdump需要先绕过frida反调试Fart脱壳一款自动化脱壳工具https://gi
阅读全文浅谈常见edu漏洞,逻辑漏洞,越权,接管到getshell,小白如何快速找准漏洞
文章首发:奇安信攻防社区https://forum.butian.net/share/4291之前闲来无事承接了一个高校的渗透测试,测试过程中没有什么复杂的漏洞,是一些基础的edu常见漏洞,适合基础学
阅读全文记一次域渗透实战:Entra SSO功能的滥用
Microsoft Entra 无缝单一登录(Seamless Single Sign-On)是微软推出的一种高级身份验证和访问管理功能。通过无缝单一登录,用户在受支持的企业网络环境中登录过一次后,无
阅读全文请网安人立即拿下软考证书(政策风口)
重大利好!!如今80%的网安人都在冲软考证:国家认证、报名费更低、含金量更高。🔥而且今年正值改革变动期,考试难度最小,是最好拿证的一年。如果想今年一次拿下软考证书,强烈建议大家考【高级-系统规划与管理
阅读全文不出网环境下的渗透测试
原文链接:https://xz.aliyun.com/news/17321本次模拟不出网环境下的渗透测试,靶机搭建了有CVE-2022-26134漏洞的confluence服务confluence服务
阅读全文面向大模型的生成-利用式越狱攻击
文章首发在:奇安信攻防社区https://forum.butian.net/share/4242目前做安全大模型或者说做大模型安全,基本都会有必要的两步,分别是对齐以及红队。 因为随着大模型在各种应用
阅读全文揭秘千万漏洞赏金密码!跟着漏洞挖掘大神解锁 SRC 变现新赛道
小编寄语小笼包携手黑色键盘,两位大佬强强联合,开始授课啦,小编给大家要了个福利,即报“亿人安全”暗号可享早鸟价格哦~SRC大师课 小笼包 & 黑色键盘 & 神秘嘉宾《联合打造》SRC漏洞挖掘培训班
阅读全文惊!长亭Web2GPT大模型,一键 AI生成黑客文章
前言: Web2GPT 是 CT 科技推出的一款免费 AI 应用,其名称读音为 “Web to GPT”。从名字就能看出,这款应用具备独特能力,能够针对任意 Web 网站内的业务内容,自动生成精准
阅读全文必看!《.NET 安全攻防指南》0基础入门指南
每个时代的安全议题皆与当时社会的核心价值紧密相连。农业社会以土地为基,工业以能源为王,而在AI与大数据双轮驱动的全新时代,数据与语料已晋升为新时代的“石油”,其重要性不言而喻。因此,保障数据与信息的完
阅读全文AI自动化代码审计RCE
原文链接:https://xz.aliyun.com/news/17327前言 AI最近的趋势持续偏高,用AI来写代码,挖漏洞甚至于审计代码的文章或者工具都非常多,最近刚好在学习AI安全,并且php相
阅读全文浅谈AI部署场景下的web漏洞
文章首发在:奇安信攻防社区https://forum.butian.net/share/4259总结了一些部署过程中出现可能的漏洞点位,并且分析了对应的攻防思路要想知道对应的大模型在本地部署过程中可能
阅读全文基于Spring boot的医药管理系统审计
原文链接:https://xz.aliyun.com/news/17687环境搭建 环境准备 IDEA 2024.2.3Maven 3.9.9JDK 1.8.0_65使用IDEA打开项目,修改JDK和
阅读全文对不起了系统,为了交差,我只能转走小道进行SQL注入了
原文:https://xz.aliyun.com/news/173330x00 文章背景 测试时发现一个注入,可惜这个注入坏得很,基本上所有的函数都给我禁了。但事已至此,我只好换一条道路来获取内容交差
阅读全文小迪安全2024内网靶场-VPC1 & VPC2 & VPC3
原文首发在:先知社区https://xz.aliyun.com/news/17349VPC1入口机器192.168.133.185,尝试php8.2.12漏洞利用CVE-2024-4577RCE/ph
阅读全文漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题
原文首发在:奇安信攻防社区https://forum.butian.net/share/4164以go的gin后端框架为例子,详细剖析了各种逻辑越权漏洞的成因已经对应防范手段,也为白帽子提供挖掘思路并
阅读全文巧用Chrome-CDP远程调用Debug突破JS逆向
文章首发在:奇安信攻防社区https://forum.butian.net/share/4062CDP远程调用非常方便,他允许我们直接可以通过代码来操作浏览器完成一系列行为,希望通过我的这篇文章让师傅
阅读全文小程序渗透记录 通过细节挖掘漏洞的艺术
原文首发:奇安信攻防社区https://forum.butian.net/share/4229近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习!免
阅读全文速查!免费微信好友关系检测工具,WechatRealFriends
WechatRealFriends声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非
阅读全文攻防|记一次攻防和产品对抗
本文主要介绍了医疗行业在无资产的场景下的一些测试思路以及在打点、内网过程中一些安全产品对抗相关的内容,涉及waf绕过、上线技巧、提权绕过杀软、特定条件下隧道链等,针对整体的攻击过程进行相关总结,以及针
阅读全文紧急收藏!揭秘360应急响应手册(附PDF)
网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全的一系列措施。是网安人必须要学习了解的内容。今天分享一份超牛的《应急响应指导手册》,传说是360大佬编写的,
阅读全文从域认证协议以及密码凭据机制的角度来看内网渗透
原文链接:https://forum.butian.net/share/4191本文记录了内网渗透中主机之间的认证以及横向,域渗透相关的协议以及思路的多种方式,windows密码抓取主机登录验证(NT
阅读全文记一次奇妙的降价支付逻辑漏洞挖掘之旅
原文链接:https://forum.butian.net/share/4204字字经典,本文以上帝视角,带你洞察整个主流支付功能背后的逻辑,之后再轻挥衣袖,实现降价支付!漏洞挖掘 逻辑漏洞 一次奇妙
阅读全文记一次开源OA组合拳RCE漏洞审计过程
原文链接:https://xz.aliyun.com/news/17273一、漏洞详情 某开源OA存在前台SQL注入和后台RCE漏洞,可以用SQL注入跑出来后台账号密码,登录后打后台RCE,组合拳达到
阅读全文【2025HW招聘】- 河南宁云志来了
河南宁云志25年国HW招聘前言:2025国家级护网将要开始,我们开启人才筹备计划。此计划旨在为甲方提供高质量安全服务,为师傅们提供稳定可靠的HW项目岗位。公司简介河南宁云志科技有限公司,是一家专注网络
阅读全文记一次某大厂csrf漏洞通过蠕虫从低危到高危
文章首发在:奇安信攻防社区https://forum.butian.net/share/4190本文记载了笔者src漏洞挖掘的经历,如何将一个简单的csrf提高至高危的程度初见端倪在上传的头像的点位:
阅读全文记一次漏洞挖掘过程中的SQL注入浅浅绕过记录
文章首发在:先知社区https://xz.aliyun.com/news/170770x00 文章背景日常测试时发现客户网站存在注入,我看着这界面的样子就像是个CMS来的,搜集一会之后确认了,果然是。
阅读全文国产 WAF 封神!BAT 力捧,15.6K Star 下零成本 KO 黑产
在Web攻击日益复杂化的今天,传统基于规则库的WAF(Web应用防火墙)已难以应对新型攻击手段。长亭雷池WAF以其**“智能语义分析算法”和动态防护技术**,重新定义了Web安全防护的边界。根据个人
阅读全文Java代码审计 | 一次开源商城系统
任意文件上传漏洞:管理员后台文件添加位置:数据包:POST /tmall/admin/uploadCategoryImage HTTP/1.1Host: 172.20.10.3:8080User-Ag
阅读全文逆向Java反序列化:从漏洞挖掘者的视角拆解CC1链的发现与构造
前言Apache Commons Collections 是一个开源的 Java 工具类库,属于 Apache Commons 项目的一部分。它提供了许多扩展和增强标准 Java 集合框架的功能,帮助
阅读全文沈阳深蓝25HW一轮统招启动!
愿您的第一次hw从沈阳深蓝开启!2025沈阳深蓝 HW一轮招录(统招)启动! 单位简介沈阳深蓝安全信息科技有限公司是一家专业的安全服务公司,我单位自2020年以公司的形式开展业务,至今已是第六年,因
阅读全文