俄罗斯社交网站VK(Mail.Ru Group) RCE漏洞,from open redirect to rce in one week,在这篇文章中,我将告诉你我是如何在Mail.Ru Group(或现在的VK)的多个主机上链接多个安全问题以实现 RCE 的故事
Read more
分类: 黑客技术
Java中的任意文件上传绕过waf文件名检测技巧
Java中的任意文件上传绕过waf文件名检测技巧,Arbitrary File Upload Tricks In Java,如何在上传任意文件时绕过文件名检测,使用getOriginalFilename方法获取文件名
Read more
XLoader僵尸网络利用概率论大数定律隐藏C&C服务器
XLoader僵尸网络利用概率论大数定律隐藏C&C服务器,该示例具有较长的仿真时间,可以访问超过 16 个域,我们发现恶意软件使用的 90,000 个域中不到 100 个 C&C 服务器,根据访问域之间的延迟,即使 9 分钟也足以欺骗模拟器并防止检测到真正的 C&C 服务器
Read more
fastjson 1.2.80版本反序列化漏洞poc
fastjson 1.2.80版本反序列化漏洞poc,fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。
Read more
使用Certutil下载命令时绕过常见杀软的思路
使用Certutil下载命令时绕过常见杀软的思路,Certutil bypass,不管怎么样杀软获取到实际参数还是要做正则匹配,那我们只要加一些既不影响命令原意又能打断正则匹配的符号就行了,我们以常见的certutil为例来探究一下国内常见的杀软的绕过思路
Read more