【流量分析】webshell三巨头
一道流量分析题,包含三个经典webshell流量
Gridea
温故而知新
【java安全】Fastjson漏洞回顾
简单回顾fastjson漏洞相关知识
【流量分析】2023陇剑杯线上初赛
简单复现学习一下陇剑杯的流量分析题
【java安全】Spring权限绕过
简单分析总结一下Spring权限绕过的一些方法
【CTF】ByteCTF2022复现与学习
正好有环境,参照师傅的题解做一个复现,学习新思路
【靶场练习】vulnstack5
Vulnstack5是红日安全提供的一个内网渗透靶场,包含一个成员和一个域控机器(DC),简单练习总结一下内网相关知识
【漏洞复现】Apache Log4j2 lookup JNDI注入漏洞(CVE-2021-44228)
Apache Log4j2是一款开源的Java日志框架,使用极其广泛,在其 <2.15 的版本中被爆出存在JNDI注入漏洞,攻击者可通过该漏洞执行任意代码
【内网渗透】Windows-Kerberos基础
简单学习总结一下Kerberos协议
【漏洞复现】Weblogic 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)
Weblogic的WLS Security组件使用XML Decoder来解析用户传入的XML数据,在解析过程中由于过滤不严格导致出现反序列化漏洞,从而实现RCE
【漏洞复现】Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)
Ghostcat(幽灵猫)是由长亭的师傅发现的tomcat安全漏洞,主要原因是Ajp协议在设计上存在缺陷,攻击者可通过该漏洞读取Tomcat上任意应用文件,配合文件上传功能,可以实现任意命令执行