登陆 注册
  • 62数据,一个咸鱼灰手党的秘密

    ssssss 2020-05-30

    最近几天,无聊逛逛淘宝,看着想买的东西和自己的花呗账单,默默地退出淘宝。但想着一些东西总归是要买的,于是乎,点开了咸鱼APP,翻看一些东西。       结果,无意间发现了62数据这东西。如果你不知道什么是62数据,以及其危害,那么请听我细细道来。1什么是62数据?平时咱们登录微信,使用”手机号码+验证码”或...

  • GookitBankingTrojan中的后门利用分析

    ssssss 2019-09-24

    0x00 前言Gootkit Banking Trojan在2014年被首次发现,最近Daniel Bunce(@ 0verfl0w_)介绍了一些对于Gootkit Banking Trojan的分析,文章地址如下:https://www.sentinelone.com/blog/gootkit-banking-trojan-persistence-othe...

  • 中国拟立密码法,明确任何组织或个人不得窃取他人加密信息

    ssssss 2019-06-27

    密码法草案于6月25日提请十三届全国人大常委会初次审议。草案明确,任何组织或者个人不得窃取他人的加密信息,不得非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动。密码法草案中的密码,是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码的主要功能有两个:一个是加密保护,另一个是安全...

  • 漏洞复现丨快速开启RMI&&LDAP

    ssssss 2019-06-06

    前言前段时间,在进行CVE-2019-2725复现时,在第二弹使用了JNDI注入。谈到JNDI自然离不开RMI和LDAP。但是,如果要用代码开启RMI服务未免过于麻烦,毕竟每次都要开启一个idea工程。marshalsec为了方便,我们可以使用marshalsec。它的GitHub项目主页为:https://github.com/mbechler/marsh...

  • 从外网到内网的渗透姿势分享

    ssssss 2019-06-04

    现在这段时间是全员 hw 时期,刚好前几天也有幸参与了某个地方的 hw 行动,作为攻击方,这里就简单总结一下最近挖洞的思路吧。因为可能怕涉及到敏感的东西,这里就有的地方不会细说了。因为本人比较菜,所以只能做一点比较基础的总结,大佬们请忽略吧...渗透的大体过程整个渗透测试的流程就是通过信息收,集到外网的 web 漏洞挖掘,来获取一个 webshell ,通过...

  • 不需要括号和分号的XSS

    ssssss 2019-05-21

    几年前,我发现了一种在JavaScript中调用函数而不使用括号onerror和throw语句的技术。它的工作原理是将onerror处理程序设置为您要调用的函数,该throw语句用于将参数传递给函数:<script>onerror=alert;throw 1337</script>onerror每次创建JavaScript异...

    XSS
1
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.