LFI漏洞利用

pwn基础之ctfwiki-栈溢出-基础ROP-ret2shellcode

文章目录前言原理ret2shellcode挖掘漏洞利用漏洞利用脚本(exp)总结前言二进制小白的学习记录,是自己写的第二篇文章,相较于第一篇文章我也做了一些改进,希望会越来越好。
大能猫能·2023-06-09 05:17

【CTFHUB-WriteUp】pwn技能树-栈溢出-Ret2VDSO

目录程序分析保护检查IDA静态分析伪代码分析汇编代码分析GDB调试分析分析总结漏洞利用及原理可利用漏洞1.栈溢出利用利用思路利用原理2.srand(seed)的不安全引用利用思路利用原理Exploit1
暮诚Mucream·2023-06-09 05:16

一份网络安全工具合集

本文章集成了全网优秀的开源攻防武器项目,包含:信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...)漏洞利用工具(各大CMS
初阶羊·2023-06-09 04:40

网络安全工具合集

本文章集成了全网优秀的开源攻防武器项目,包含:信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...)漏洞利用工具(各大CMS
初阶羊·2023-06-09 04:40

内网渗透(八十七)之Exchange ProxyShell攻击利用链

但是当时OrangeTsai并未公布ProxyShell攻击链漏洞利用详情。同时,微软发布了针对ProxyShell攻击利用
私ははいしゃ敗者です·2023-06-08 23:39

Web安全:拿到 Web 服务器 最高权限.(vulntarget 靶场 A)

,让全世界浏览;可以放置数据文件,让全世界下载.目录:Web安全:拿到Web服务器最高权限.免责声明:网络环境所示:主机信息:拿到Web服务器最高权限测试:第一步:信息收集.第二步:漏洞探测.第三步:漏洞利用
半个西瓜.·2023-06-08 22:38

网络安全常用靶场推荐

sqli-labssqli-labs包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用下载地址:https://github.com/Audi-1/sqli-labsxsschallengesxsschallenges
网络安全-生·2023-06-08 21:04

【送书福利-第九期】Web安全攻防从入门到精通

本文目录一、前言二、内容介绍三、作者介绍四、本书特色五、抽奖方式总结一、前言一本真正从漏洞靶场、项目案例来指导读者提高Web安全、漏洞利用技术与渗透测试技巧的图书。
程序员洲洲·2023-06-08 21:23

本地提权漏洞分析【网络安全】

0.前言CVE-2023-21752是2023年开年微软第一个有exploit的漏洞,原本以为有利用代码会很好分析,但是结果花费了很长时间,难点主要了两个:漏洞点定位和漏洞利用代码分析,欢迎指正。
不是程序媛呀·2023-06-08 18:52

小迪安全|第10天:信息收集-资产监控拓展

目录1.Github监控exp:全称Exploit,是指漏洞利用的意思,指利用系统漏洞进行攻击的动作,一般是个DEMO程序,exp是利用漏洞是建立在POC之下,通常exp是一种攻击手段是有害的。
楚楪·2023-06-08 10:10

【小迪安全day10】信息收集——资产监控拓展

而EXP全称是Exploit,中文译作漏洞利用程序。它是对POC验证结果的一种漏洞利用脚本。)(2)便于发现相关测试目标的资产创建一个git.py文件:#Title:wecha
RichUee·2023-06-08 10:05

【漏洞分析】CVE-2021-0920 Linux内核垃圾回收机制中的竞争UAF漏洞

Google的威胁分析小组(ThreatAnalysisGroup)发现该漏洞在野外被使用,可以绕过沙箱和提权,结合Chrome和三星浏览器漏洞利用,就能够远程root三星设备。
bsauce·2023-06-08 04:34

(渗透学习)ysoserial工具使用--java反序列化漏洞利用

工具下载地址:https://github.com/angelwhu/ysoserial使用方法可参考:https://blog.csdn.net/weixin_34275734/article/details/92243836靶场webgoat---InsecureDeserializetion---5分析漏洞:题目给的数据是rO0AB开头,所以是经过了base64加密的java序列化对象。解码
imz丶·2023-06-07 18:23

小白入门SRC漏洞挖掘的正确姿势

在这段时间里,我参与了多个实际项目的规划和实施,成功防范了各种网络攻击和漏洞利用,提高了安全防护水平。也有很多小伙伴私信问我怎么学?怎么挖漏洞?怎么渗透?
白帽小衫·2023-06-07 13:00

墨者学院-WordPress 远程命令执行漏洞(CVE-2018-15877)复现

Zis0bC9SUnlJZEtBdlZkT01QVXRsUT09bW96aGUmozhe漏洞编号:CVE-2018-15877漏洞名称:WordPressPlainviewActivityMonitor插件远程命令执行漏洞利用页面
nohands_noob·2023-06-07 13:36

DC-3渗透实战(详细过程)

目录DC-3靶机1.主机发现2.端口扫描3.网页信息探测4.敏感目录扫描5.漏洞查找和漏洞利用漏洞查找joomscansearchsploit漏洞利用sqlmapJohn反弹shell交互式shell6
tzyyyyyy·2023-06-07 01:17

DC-3靶场搭建及渗透实战详细过程(DC靶场系列)

目录一.信息收集1.主机扫描2.端口扫描3.目录扫描4.web页面信息探测二.漏洞找查1.joomscan2.searchsploit三.漏洞利用1.SQL注入2.密码爆破3.反弹shell4.Get交互
金 帛·2023-06-07 01:10

WAF Bypass技巧(0)

我们一般将安全防护软件划分为:云WAF、硬件waf、主机防护软件、软件waf等在攻防实战中,我们往往需要掌握一些特性,比如服务器、数据库、编程语言等等,以便更灵活地去构造Payload从而绕过安全防护进行漏洞利用
luozhonghua2000·2023-06-07 01:02

【网络安全】本地提权漏洞分析

0.前言CVE-2023-21752是2023年开年微软第一个有exploit的漏洞,原本以为有利用代码会很好分析,但是结果花费了很长时间,难点主要了两个:漏洞点定位和漏洞利用代码分析,欢迎指正。
网络安全-生·2023-04-21 05:07

【Vulnhub靶场】JANGOW: 1.0.1

目录前言一、信息收集0x00环境介绍0x01nmap扫描二、漏洞挖掘0x00命令执行漏洞利用0x01一句话木马利用0x02信息收集三、权限提升0x00反弹shellflag前言Difficulty:easyThesecrettothisboxisenumeration
Nailaoyyds·2023-04-21 01:41

Metasploit payloads模块理解

的使用二、payload是什么payloadshellcode的编写三、MSF的Payloads模块payload分类payload的投递四、MSF模块功能参考一、payloads的使用继续来看永恒之蓝的漏洞利用过程
藤原千花的败北·2023-04-20 21:43

实战getshell新姿势-SSRF漏洞利用与getshell实战

实战getshell新姿势-SSRF漏洞利用与getshell实战一、什么地方最容易出现SSRF二、SSRF漏洞危害三、SSRF神器Curl的使用四、最常用的跳转绕过五、Python+SSRF实现端口扫描
0ak1ey·2023-04-19 22:38

【SSRF-02】服务器端请求伪造攻击案例——WebLogic架构之从SSRF==>Redis(存在未授权访问)==>GetShell

主从同步功能4fastcgi组件介绍4.1CGI4.2fastcgi5SSRF攻击案例5.1实验目的5.2实验环境5.3实验前准备5.4实验过程5.4.1阶段一:SSRF漏洞挖掘5.4.2阶段二:SSRF漏洞利用
像风一样9·2023-04-19 22:34

【网络安全知识体系】外网渗透测试 | 14个小实验

0基础网络安全入行到入yu、漏洞挖掘-外网渗透测试流程目录一、导读:二、汇总:三、知识导图四、面试常见问题五、渗透测试流程1、简述:2、寻找测试目标3、信息收集3、漏洞挖掘4、漏洞利用获得webshell
黑色地带(崛起)·2023-04-19 07:10

京东云RASP云原生安全免疫创新实践

以前一段时间出现的log4j2漏洞为例、这是近十年来最严重的漏洞,由于使用广泛和漏洞利用简单,影响70%以上的企业线
京东云开发者·2023-04-19 00:30

Fastjson反序列化漏洞复现(实战案例)

通俗理解就是:漏洞利用fastjsonautotype在处理json对象的时候,未对@
zxl2605·2023-04-19 00:29

Metasploit高级技术【第九章】

预计更新第一章Metasploit的使用和配置1.1安装和配置Metasploit1.2Metasploit的基础命令和选项1.3高级选项和配置第二章渗透测试的漏洞利用和攻击方法1.1渗透测试中常见的漏洞类型和利用方法
Kali与编程~·2023-04-18 21:53

Metasploit高级技术【第十章】

预计更新第一章Metasploit的使用和配置1.1安装和配置Metasploit1.2Metasploit的基础命令和选项1.3高级选项和配置第二章渗透测试的漏洞利用和攻击方法1.1渗透测试中常见的漏洞类型和利用方法
Kali与编程~·2023-04-18 21:53

网络安全之ATP

目录APT定义特点目的APT攻击的生命周期阶段一---扫描探测阶段二---工具投送阶段三---漏洞利用阶段四---木马植入阶段五---远程控制阶段六---横向渗透阶段七---目标行动防御APT最佳有效办法
White乄joker·2023-04-18 16:52

[长安杯 2021学生组]baigei

Index前言介绍漏洞利用思路利用过程一.编写交互函数二.填充TcacheBin三.释放TcacheBin四.获取Libc地址五.TcacheBinAttack六.完整EXP:前言最近有点迷茫,开始放松自己了
Red-Leaves·2023-04-18 05:34

[2021 东华杯]bg3

Index介绍漏洞利用过程一.泄露Libc二.TcacheBinAttack三.完整EXP介绍[2021东华杯]bg3本题是C++写的一道经典菜单堆题,拥有增删改查全部功能。
Red-Leaves·2023-04-18 05:33

p74 应急响应-win&linux 分析后门&勒索病毒&攻击

数据来源操作系统(windows,linux)应急响应:常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC木马等),病毒感染(挖矿,蠕虫,勒索等)常见分析:计算机账户,端口,进程,
正经人_____·2023-04-18 01:14

RET2DL_RESOLVE

ret2dl_resolve是linux下一种利用linux系统延时绑定(LazyBinding)机制的一种漏洞利用方法,其主要思想是利用_dl_runtime_resolve()函数写GOT表的操作,
白里个白·2023-04-17 19:44

漏洞中的一些名词

shellcode:通称缓冲区溢出攻击中植入进程的代码,这段代码可以是出于恶作剧的目的弹出一个消息框,也可以是出于攻击目的的删改重要文件、窃取数据、上传木马病毒并运行等(完成任务)-exploit:代码植入的过程就是漏洞利用
1Oin0·2023-04-17 15:25

【kernel exploit】CVE-2022-25636 nftables OOB 写堆指针漏洞利用

影响版本:Linux5.4-rc1~5.17-rc5。5.17-rc6已修补。测试版本:Linux-5.13.19(原作者在Ubuntu21.10内核版本5.13.0-30中测试,成功率40%,由于用到msg_msg对象,所以只能用5.14以前的内核版本进行测试)exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory编译选
bsauce·2023-04-17 09:18

【bsauce读论文】PSPRAY-基于时序侧信道的Linux内核堆利用技术

主要内容:由于Linux内核的堆分配器SLUB开启的freelist随机化保护,所以堆相关的内核漏洞利用成功率较低(平均为56.1%)。
bsauce·2023-04-17 09:15

XMind 2021 11.0 Beta 1 XSS漏洞导致命令执行

文章来源:Khan安全攻防实验室漏洞利用方式:选择事件型XSS需要附带onerror事件,比如img、audio等。
华盟君·2023-04-16 20:12

MVPowerMozi命令执行漏洞

漏洞利用攻击者可以通过发送特定的HTTP请求,利用该漏洞执行任意命令。以下
区块链攻城狮·2023-04-16 19:25

记首次HW|某地级市攻防演练红队渗透总结

大概情况是:第一天多为弱口令和应用层漏洞攻击且有攻击队申请高危漏洞攻击,之后想必都开始了高危漏洞利用,内网攻击,第四天就有攻击队开始使用
长白山攻防实验室·2023-04-16 05:03

Java反序列化漏洞及实例详解

目录一、序列化和反序列化序列化用途二、Java反序列化漏洞数据出现函数接口漏洞发现漏洞利用三、Java序列化反序列化演示四、靶场演示一、序列化和反序列化序列化把Java对象转换为字节序列(字节流)的过程
ranzi.·2023-04-16 04:42

Tomcat漏洞复现

(CVE-2017-12615)1、漏洞描述2、影响范围3、漏洞分析4、环境搭建5、漏洞复现二、Tomcat文件读取/文件包含漏洞(CVE-2020-1938)1、漏洞描述2、影响范围3、漏洞简析4、漏洞利用
大鸟安全·2023-04-15 16:01

MSF使用详解

MS03kali更新msf04Windows安装MSF课件05MSF图形界面Viper06MSF目录结构07Metasploit的核心模块08-09msfvenom常用参数(更新)10-11msfconsole漏洞利用流程
爱睡觉的扬扬·2023-04-15 06:38

MinIO从信息泄漏到RCE

文章目录信息泄露漏洞利用漏洞分析漏洞修复RCE漏洞分析参考文章信息泄露漏洞利用如果MinIO以集群方式部署,存在信息泄露漏洞,攻击者可以通过HTTP请求获取目标进程的所有环境变量,包括MINIO_SECRET_KEY
ThnPkm·2023-04-14 22:23

k8s安全01--云安全简介

k8s安全01--云安全简介1基础概念1.1什么是安全1.2基础安全原则1.3攻击者类别1.4攻击来源1.5攻击类型1.64C安全1.7其它漏洞利用1.8硬件1.9NIST网络安全框架1.10高价值资产保护
昕光xg·2023-04-14 17:36

Web渗透测试3个要点(信息收集→漏洞发现→漏洞利用

现在,随着企业信息化建设的开展,越来越多的重要数据会以电子媒介的形式存放,这在方便企业办公的同时,也造成了极大的安全隐患。近年来,随着APT攻击的蔓延,使得越来越多的企业遭受不可挽回的重大损失。一个偶然的机会,有幸邀请到了一家国外专门做web安全的公司来对自己的web系统做安全测试。4周下来,我与几位安全专家多次沟通,完成了对自己系统的威胁建模,渗透测试,白盒测试,一共发现了28个漏洞。经验宝贵,
爱码小士·2023-04-14 14:28

永恒之蓝漏洞利用/简单的后渗透信息收集

申明本文章仅供学习使用环境准备:win7虚拟机(靶机)ip:192.168.56.134kali虚拟机(攻击机)ip:172.18.20.164要求:win7虚拟机不要开防火墙,开放445端口,没有打永恒之蓝的补丁实验开始:先用nmap扫描一下靶机开了哪几个端口:nmap-Sv-p1-1000192.168.56.134在这里插入图片描述跑了两分钟,发现win7着实开了445端口。接下来直接打开m
佛系小沈·2023-04-14 10:10

网络安全之命令执行漏洞复现

0x02漏洞影响范围WebMin版本小于1.9970x03漏洞利用条件此漏洞需身份验证;并且该账户必须有权限访问软件包更新模块,需要访问“Softwa
没更新就是没更新·2023-04-14 01:38

FastJson反序列化漏洞(复现)

详细描述漏洞利用FastJsonautotype处理Json对象的时
Gaowu-·2023-04-13 14:24

Fastjson反序列化漏洞利用原理和POC

0x01前言FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意
faye-yumi·2023-04-13 14:52

Fastjson反序列化漏洞复现(实战案例)

通俗理解就是:漏洞利用fastjsonautotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。
@A1·2023-04-13 14:13
上一页 16 17 18 19 20 21 22 23 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他