从SQL注入绕过最新安全狗WAF中学习fuzz SQL注入并不是很精通，通过实战绕过WAF来进行加强SQL注入能力，希望对正在学习的师傅能有一丝帮助。安装前言我是本地搭建的环境进行测试的环境是window... 2022-6-8 14:49:50 | 阅读: 23 | 收藏 | xz.aliyun.com 绕过 payload 内联 安全 10440union

浅谈AWD攻防赛的生存攻略 AWD：Attack With Defence，即攻防对抗，比赛中每个队伍维护多台服务器（一般两三台，视小组参赛人数而定），服务器中存在多个漏洞（web层、系统层、... 2022-6-8 14:47:29 | 阅读: 26 | 收藏 | xz.aliyun.com php passwd 后门 ssh 漏洞

记录一次攻防演练中的代码审计 在一次授权的攻防项目中，我和我的一个好兄弟在渗透过程中发现一个目标存在mssql注入，通过注入拿到了管理员的账号和密码当时我和我的好兄弟高兴坏了，迫不及待的把拿... 2022-6-7 11:20:52 | 阅读: 32 | 收藏 | xz.aliyun.com des skey 数据 加密

F5 BIGIP CVE-2021-22986认证绕过漏洞分析 概述官方信息影响范围：ProductBranchVersions known to be vulnerableFixes introduced in... 2022-6-7 11:19:45 | 阅读: 51 | 收藏 | xz.aliyun.com libs mgmt runnable username

F5 BIGIP CVE-2022-1388 认证绕过漏洞分析 概述官网5月5日漏洞通告：https://support.f5.com/csp/article/K23605346漏洞影响面：作为java初学者，尝试基于大佬... 2022-6-6 23:20:0 | 阅读: 47 | 收藏 | xz.aliyun.com runnable username jetty hop

谁能比我细---秒懂Http请求走私 1. 前提HTTP1.1首先我们需要了解下http1.1的特性，它是应用层的协议，这个不用多说keepalive​ 在http1.1时代，每个... 2022-6-6 23:19:53 | 阅读: 32 | 收藏 | xz.aliyun.com te 后边 数据 http1 截断

记一次企业钓鱼演练 什么时候才能成为大佬，不知何年何月得偿所望。@TOC钓鱼演练伊始：公司要求做一次钓鱼演练，辗转后任务落我身上，两眼一抹黑，内心苟苟且且，但一想到今年七月份... 2022-6-6 23:18:44 | 阅读: 58 | 收藏 | xz.aliyun.com gophish 钓鱼 端口 数据 ewomail

一个潜藏10年的Python UAF漏洞 原文：Exploiting a Use-After-Free for code execution in every version of Python 35月1... 2022-6-6 23:18:31 | 阅读: 42 | 收藏 | xz.aliyun.com pyobject ob elf64 pymethoddef meth

Follina Microsoft Office RCE with MS-MSDT Protocol 看推特发了了一个好玩的office rce。最早应该是起源于nao_sec的推特然后又发现了一篇分析文章。https://doublepulsar.com/fo... 2022-6-1 23:25:9 | 阅读: 45 | 收藏 | xz.aliyun.com windows msdt ywbhagwaywa

浅析APP代理检测对抗 1.前言本文将从网络通信原理浅析在android中出现的一些代理转发检测，这些功能会使我们测试app时出现抓不到包或者应用闪退等情况，针对这种场景，我搭建了测试环境... 2022-6-1 23:24:52 | 阅读: 96 | 收藏 | xz.aliyun.com 代理 proxy 数据 网络 burp

RedGuard - C2前置流量控制工具 工具介绍RedGuard，是一款C2设施前置流量控制技术的衍生作品，有着更加轻量的设计、高效的流量交互、以及使用go语言开发具有的可靠兼容性。它所解决的核心问题也... 2022-6-1 23:19:15 | 阅读: 59 | 收藏 | xz.aliyun.com redguard 流量 拦截 c2 端口

webshell免杀-提升兼容性 各位师傅早上好，中午好，晚上好！！！继上篇文章：https://xz.aliyun.com/t/11149当时测试的环境是php7.0.9，但是将上面的思路转移... 2022-5-31 08:56:17 | 阅读: 64 | 收藏 | xz.aliyun.com xc yh payl admin123 kk

F5 BIGIP CVE-2021-22986认证绕过漏洞分析 概述官方信息影响范围：ProductBranchVersions known to be vulnerableFixes introduced in... 2022-5-30 23:56:25 | 阅读: 59 | 收藏 | xz.aliyun.com libs mgmt runnable

CVE-2021-31805 Apache Struts2 远程代码执行漏洞分析 漏洞描述近日，Apache官方发布了Apache Struts2的风险通告，漏洞编号为CVE-2021-31805。Apache Struts2是一个用于开发Jav... 2022-5-30 23:55:27 | 阅读: 36 | 收藏 | xz.aliyun.com beanmap 漏洞 map3 newinstance

飞趣CMS二次审计 0x01 前言前两天xz社区的某位师傅，已经分析了该cms。所以本人在该原有发现漏洞的基础上，进行了更深一步挖掘。该师傅的文章：https://xz.aliyun... 2022-5-30 23:54:47 | 阅读: 23 | 收藏 | xz.aliyun.com lazymap transformer

ThinkPHP6.0.12反序列化RCE挖掘 前言前人种树，后人乘凉根据@Morouu师傅的eval反序列化利用链继续挖掘测试版本:Thinkphp6.0.120x01环境配置(tp6只支持用comp... 2022-5-30 23:52:46 | 阅读: 41 | 收藏 | xz.aliyun.com league flysystem 链子 php morouu

PHP的concat操作导致的UAF利用脚本分析 1. 简介PHP 7.3-8.1 中字符串连接符中有一个错误，当参数为数组时会触发错误处理，如果在错误处理回调中删除了相关资源，会造成UAFPOC<?php... 2022-5-27 00:1:24 | 阅读: 26 | 收藏 | xz.aliyun.com closure zval php op1 xxxxx

WolfSecCTF 几道有趣的题目 上周末打了密歇根大学举办的一个CTF比赛，做了其中的Web题，发现考点比较新颖和有趣，于是写篇完整的探索记录Warmup:Burp一道纯靠burp的题目，这里不再... 2022-5-26 23:59:56 | 阅读: 17 | 收藏 | xz.aliyun.com parsedurl payload bvel4oasra 端口 ssrf

mimikatz源码免杀初探 在先知看到一篇文章 失败mimikatz源码免杀和成功的免杀Windows Defender，文章发表于22.01.24，但是在二月份根据文中方法学习时发现文中介绍... 2022-5-26 23:58:46 | 阅读: 45 | 收藏 | xz.aliyun.com mimikatz 免杀 火绒 大小写 mimilove

XSteam历史漏洞分析 XStream 远程代码执行漏洞 CVE-2013-7285 XStream <= 1.4.6或1.4.10 XStream XXE CVE-... 2022-5-26 23:58:28 | 阅读: 28 | 收藏 | xz.aliyun.com 漏洞 comparator datasource mapper