登陆 注册
  • 请不要在我喜欢的人身上下手,我“刀”呢?

    CDL路飞CDL路飞 2020-07-28

    这是 酒仙桥六号部队 的第 47 篇文章。全文共计3021个字,预计阅读时长10分钟。1.背景昨天一个漂亮的高中同学突然叫我,说被别人骗了钱,让我帮帮忙,美女的忙,充满正义感的我向来是不会推脱的。(另外我还是有点喜欢她,虽然是上学时期的事了,但现在印象还是很好地。要是通过这次帮忙,对我的印象有了极大的提高,成就一段美满的爱情,又...

  • 北京刑拘11人,打着压力测试名号,搞Ddos

    CDL路飞CDL路飞 2020-07-28

    文章来源:北京日报按照公安部“净网2020”专项行动统一部署,北京市公安局海淀分局加大对从事DDOS攻击类网上黑客违法犯罪活动的打击力度,成功侦破“影子DDOS”等平台非法利用信息网络案,现已刑事拘留11人,捣毁专门从事DDOS攻击的非法网站13个。“DDOS攻击”即“分布式拒绝服务攻击”,是指攻击者利用大量“肉鸡”资源向固定目标发送海量数据包,突破目标服务...

  • fastjson 1.2.68 反序列化漏洞 gadget 的一种挖掘思路

    CDL路飞CDL路飞 2020-06-10

    关于漏洞fastjson 的这个新漏洞在 1.2.68 及之前版本的 autotype 关闭的情况下仍然可以绕过限制反序列化,相比 1.2.47 版本的漏洞来讲这个版本的漏洞还是有一些限制的(关于 1.2.47 漏洞可以参考我的另一篇文章《Java 反序列化漏洞始末(3)— fastjson》[1]),例如 1.2.47 是可以绕过黑名单的限制的,而这个漏洞...

  • 从攻击者角度解读防护思路

    CDL路飞CDL路飞 2020-04-20

    最近圈内关于红蓝对抗,安全防护服务的讨论很热烈,原因相信大家都是很清楚的。目前来看,很多企事业单位对“安全之痛”还缺乏体会,国内安全防护水平的发展很大程度上仍然需要监管部门来推动。最近很多文章都在强调攻击能力的重要性,由于我本人长年从事安全防护产品研究和安全防护工作,所以本文将从攻击能力服务促进安全体系改进提升的角度进行探讨。随着各企业对安全防护的重视不断加...

  • 对棋牌app漏洞挖掘以及一些工具(附送0DAY)

    CDL路飞CDL路飞 2020-04-13

    大家好,很久没更新有没有想我呢。(大家想要的东西附在文章末尾,回复关键字下载获取下载地址)没错,就是那个越权帮别人支付订单,xss打自己cookie的男人,他回来了。前段时间写的帮粉丝渗透棋牌app,被很多朋友私信问我到底怎么搞下来的,他们也想来这么一套一顿操作猛如虎的连环打法。但是我怎么可能告诉你们我是admin/123456进去的?那不是有损我在你们面前...

  • 领略cdn绕过的魅力

    CDL路飞CDL路飞 2020-04-04

    导语当网站架设一个带有云盾防护的cdn,无疑是对我们的web渗透造成了极大的困扰,当你的web一把梭失效之后,更多时候会让你对你的渗透目标进入苦思冥想的状态。cdn概念内容分发网络(英语:Content Delivery Network或Content Distribution Network,缩写:CDN)。内容分发网络节点会在多个地点,多个不同的网络上摆...

  • 利用今日头条做C2

    CDL路飞CDL路飞 2020-03-10

    本文主要抛砖引玉,提供思路。前言在之前做的项目中,网络环境比较严格,只能访问个别信任的网站(如:百度首页、今日头条、百度新闻等),像百度贴吧、简书、cnblog等都禁止访问。这时我们上线就成了一个问题。思路画了一张简约图,根据图更易懂。控制端被控端我们利用发表微头条功能是因为微头条不需要审核且无需验证码判断内容长度是因为留言长度有限且微头条长度最长是2000...

  • Web漏洞扫描碎碎念

    CDL路飞CDL路飞 2020-03-02

    前言这段时间一直在搞漏洞扫描方面相关的东西,之前也写过一些小的扫描器demo,接触到挺多开源和商业版漏扫。简单念叨一些web扫描器相关的思路吧,也算做个记录。注:本文只提供一些思路其实web扫描器形式分很多种主动扫描例如 AWVS、APPScan被动扫描例如 Xray还有一些一把梭的插件类型扫描器,包括资产域名自动收集,指纹识别,POC扫描等IAST插桩也是...

  • ProcessHider利用分析

    CDL路飞CDL路飞 2020-03-02

    0x00 前言ProcessHider能够在任务管理器和Process Explorer之类的监视工具中隐藏指定进程,本文将要介绍实现原理,分析代码细节。0x01 简介本文将要介绍以下内容:ProcessHider测试ProcessHider的实现原理ProcessHider的代码分析ProcessHider的检测0x01 简介ProcessHider能够在...

  • Weblogic使用ClassLoader和RMI来回显命令执行结果

    CDL路飞CDL路飞 2020-02-26

    最近在研究weblogic,执行命令没有回显,Google了一下,发现可以通过RMI来解决weblogic反序列化RCE没有命令执行结果回显,先看下基础知识。Java类Java是编译型语言,所有的Java代码都需要被编译成字节码来让JVM执行。Java类初始化时会调用 java.lang.ClassLoader 加载类字节码,ClassL...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.