探索这个世界
12
30
11
03
09
22
fastjson 反序列化漏洞分析 fastjson 反序列化漏洞分析
前言继续学习java代码审计,这次来学习fastjson的漏洞 fastjson基础知识fastjson主要是把java类与json字符串的互相转换以及JavaBean对象与json字符串的互相转换 JavaBean是一个遵循特定写法的J
2021-09-22 EASY
18
前端js加解密调试学习总结 前端js加解密调试学习总结
前言越来越多的网站数据传输都选择了前台js加密,如果不了解其加解密方式会对我们的渗透带来极大困扰。笔者对于js调试,加解密这块知识都非常的薄弱,这里系统的学习总结一下。 常见的加密方式对称加密对称加密就是指加解密都是使用同一个密钥的加密方式
2021-09-18 EASY
08
19
ysoserial-URLDNS链分析 ysoserial-URLDNS链分析
测试环境java 测试环境: 分析先来看ysoserial的payload代码,ysoserial/src/main/ysoserial/payloads/URLDNS.java 如上图作者在注释中已经把关键的链以及构造方法都已经写成来
2021-08-19 EASY
06
03
Finger重写上线啦~ Finger重写上线啦~
开始Finger定位于一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具。在面临大量资产时候Finger可以快速从中查找出重点攻击系统协助我们快速展开渗透。早有前辈贡献出优秀的作品[EHole(棱洞)2.0 重构版-红队重点攻击系统指
2021-06-03 EASY
05
15
记一次正则匹配绕过 记一次正则匹配绕过
前言打开论坛发现有表哥在讨论一个问题,如下代码存在注入吗? select * from admin where (guanliyuan='{$guanliyuan}' and mima='{$pwd}') 过滤方法: preg_replac
2021-05-15 EASY
04
29
一些渗透实战记录 一些渗透实战记录
前言简单记录最近几个实战渗透的站点。 第一个站点sql注入收到Xray的sql注入告警。 简单测试了一下确实存在数字型注入,但是存在waf检测到sql注入一些关键词直接403 经过测试只是检测关键词,这个时候我们可以考虑 使用生僻函数
2021-04-29 EASY
18
python中requests库一些注意事项 python中requests库一些注意事项
前言最近在开发工具使用requests库的时候发现了一些以前自已没有注意到的问题,这里记录一下。 爬虫乱码问题.text方法的缺陷首先我们思考一下Python-requests中的.content和.text方法的区别。 .text 返回
2021-04-18 EASY
14
数据采集工具-Gather 数据采集工具-Gather
前言Gather是一个数据采集工具,使用python3编写,使用的时候请确保运行环境为python3.6以上。Gather支持Fofa,钟馗之眼(Zoomeye),Shodan的数据采集。 使用说明Gather极力避免各种繁杂的参数,使用-
2021-04-14 EASY
1 / 2