网络与信息安全
11
09
记一次通过供应链拿到目标后台权限的过程 记一次通过供应链拿到目标后台权限的过程
重要说明本文中涉及到的所有操作均得到了客户单位的授权,并且在漏洞修复后得以公开。请勿在未授权状态下进行任何形式的渗透测试!!!! 漫长的探索某天,接到一个任务,要求对某医院的信息系统做一次安全检测,看能否发现问题。经过初步的信息收集后,发现
2021-11-09
10
28
java安全-java 动态代理 java安全-java 动态代理
前言代理模式是一种设计模式,提供了对目标对象额外的访问方式,即通过代理对象访问目标对象,这样可以在不修改原目标对象的前提下,提供额外的功能操作,扩展目标对象的功能。我理解的代理就是一个中间人,这个中间人不仅实现了代理对象的功能,还能自己添加
26
java安全-java RMI java安全-java RMI
前言RPC全称为远程过程调用,通俗点讲就是可以在不同的设备上互联调用其方法,比如client可以远程调用server上的方法。而RMI是jdk中RPC的一种实现方式,通过RMI可以轻松的实现RPC而不必理会这其中复杂的调用过程。由于RMI的
25
java安全-java类加载器 java安全-java类加载器
前言java类加载器是JVM加载类到内存并运行的过程,这个过程有点复杂,除了系统自定义的三类加载器外,java运行用户编写自定义加载器来完成类的加载过程。java安全中常常需要远程加载恶意类文件来完成漏洞的利用,所以学习类加载器的编写也是很
22
java安全-java反射 java安全-java反射
前言如果要想深入学习java安全,除了java必备的基础知识外,还有一些java高阶的知识需要了解,例如反射,类加载,RPC,动态代理等。这些概念是java漏洞利用的基础,例如shiro反序列化,fastjson反序列化等。 这篇文章我们来
14
08
18
07
14
记一次完成的钓鱼实战 记一次完成的钓鱼实战
简介网络钓鱼攻击指的是攻击者尝试通过电子邮件、网站、短信或其他形式的电子通信窃取敏感信息,控制目标主机的行为。钓鱼攻击在被害者看起来像来自合法公司或个人的正式通信,往往被害者短期内无法知道自己已被攻击。 根据Verizon Enterpri
2021-07-14
04
02
11
22
C++学习笔记 C++学习笔记
程序执行的本质当我们写完一段程序需要给电脑进行运行时,首先编译器需要将代码编译为CPU可以看懂的机器码然后装载到内存中,CPU读取到内存中的指令后就会执行其中的执行控制IO设备完成相应的工作。 CPU分为寄存器,运算器和控制器三部分。 第一
2020-11-22
09
29
浅析php反序列化字符串逃逸 浅析php反序列化字符串逃逸
php序列化与反序列化我们在开发的过程中常常遇到需要把对象或者数组进行序列号存储,反序列化输出的情况。特别是当需要把数组存储到mysql数据库中时,我们时常需要将数组进行序列号操作。 序列化(串行化):是将变量转换为可保存或传输的字符串的过
08
11
CVE-2020-11651 SaltStack认证绕过分析 CVE-2020-11651 SaltStack认证绕过分析
简介SaltStack是一种基于C/S架构的服务器基础架构集中管理平台,它是一种全新的基础设施管理方式,部署轻松,在几分钟内可运行起来,扩展性好,很容易管理上万台服务器,速度够快,服务器之间秒级通讯。Saltstack使用Python开发,
1 / 9