黑白网成立于2014年,基于丰富的技术和经验,专注于信息安全,提供网络安全攻防、极客创意类文章、黑白帽黑客类技术文章、全球互联网实时动态。旨在提高国民IT经验,安全并非一个人的责任。 秉持开源精神,技术源于分享,安全永不低头! 互联网时代,诸君共勉!
-
CVE-2019-11477:Linux内核中TCP协议栈整数溢出漏洞详细分析
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。漏洞概述2019年6月18日,RedHat官网发布CVE编号为CVE-2019-11477的漏洞,此漏洞是一个底层协议栈的整...
-
CVE-2019-0948:Microsoft Management Console (MMC)漏洞
Microsoft Management Console (MMC)是微软管理控制台,是一个专门用于管理的控制台。其设计主要用于为Windows管理员提供一个统一的、规范的管理接口和操作平台。近期,Check Point Research研...
-
Zblog对接QQ机器人实现文章搜索与最新文章
z-blog和z-blogphp,既是博客程序,也是cms建站系统。已走过十余年风雨的她们,有着强大的可定制性、丰富的插件接口和独立的主题模板,致力于给国内用户提供优秀的博客写作体验。黑白网本身用的也是Zblog程序,一直有想法做个机器人,...
-
-
cve-2019-2729挖掘思路 - cve-2019-2725 bypass
前言Weblogic 当中对 wsdl 中的 soap 消息体解析依赖的是 XMLDecoder 的数据转换XMLDecoder 其实就是一个将字符串的描述转换成java对象的一个jdk内置工具。因为本身wsdl设计的原因,XMLDecod...
-
-
基于攻防演练的社会工程案例猜想
背景:最近在忙HW,听说有社会工程攻击,根据相关书籍,假象了一些安全宣贯场景。简单记录,仅供参考。参考材料:(1)《CISSP指南all in one》(最厚的那本)(2)《社会工程1-安全体系中的人性漏洞》(3)《社会工程3-防范钓鱼欺诈...
-
记一次渗透过程中用sqlmap写shell
第一步拿到注入点:http://xxxxx.com/zxxxxx.aspx?zid=16为了防止被爆菊被和谐,这里的网址采取硬核马赛克措施 – –sqlmap.py–u“http://xxxxx.com/zpDetails.aspx?zid...
-
中转Webshell 绕过安全狗(二)
前言在实践中转webshell绕过安全狗(一)中,在服务端和客户端均为php。某大佬提示并分享资源后,打算使用python完成中转。部分代码无耻copy。客户端本地127.0.0.1,安装python2phpshellproxy.py#co...
-
中转Webshell 绕过安全狗(一)
前言听说中国菜刀里有后门。抓包我是没有监测到异常数据包。为了以防万一,且更好使用中国菜刀硬杠安全狗。笔者收集了一下资料。无耻的copy大佬的源码,只是在大佬的基础上简单修改了一下,达到Webshell绕过安全狗。原理菜刀不直接向shell发...
