合天网安实验室
安全脉搏

172

文章

817

积分

0

收藏

0

关注

9

粉丝

www.hetianlab.com,网络安全靶场练习平台,涉及CTF赛前指导、职业技能训练、网安专项技能提升等。

至今

2021-12-28
脉搏文库

log4j2 JNDI注入分析笔记 

前言Apache Log4j2是一款优秀的Java日志框架,最近爆出了一个jndi注入的漏洞,影响面非常广,各大厂商都被波及。Log4j2作为日志记录的第三方库,被广泛得到使用,这次主要分享一下,最近…

2021-12-23
Web安全

一篇文章玩明白Stack-migration 

前置知识Intel汇编,栈溢出利用,基础rop链Stack_migration介绍当我们发现存在栈溢出漏洞,但是溢出字节非常小,比如0x10的时候我们就需要利用栈迁移,将栈迁移置足够大的区段去编写ro…

2021-12-22
脉搏文库

组策略(GPO)利用与横向移动 

组策略介绍组策略(英语:Group Policy)是微软Windows NT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化…

2021-12-20
资讯

以Twig模板为例浅学一手SSTI 

什么是SSTISSTI:开局一张图,姿势全靠ySSTI,即服务器端模板注入(Server-Side Template Injection)常见的注入有:SQL 注入,XSS 注入,XPATH 注入,X…

2021-12-14
资讯

Java Agent到内存马 

前言今天看到一篇文章,写的是关于JAVA Agent相关的资料(附1),里面提到了Java Agent的两种实现方法:实现premain方法,在JVM启动前加载实现agentmain方法,在JVM启动…

2021-12-8
资讯

这个符号竟然可以从右往左打印字符串 

前言最近,Err0r师傅把他们新生赛的赛题源码甩给我,我直接点开ezphp,发现这题很巧妙,题目源码不长,并且很有意思!这里面涉及到的知识点在之前也是比较少接触到的。因此,这篇文章将会对这道题从解题再…

2021-12-3
Web安全

利用Nmap对MSSQL进行渗透测试 

利用nmap脚本对MS SQL Server 进行渗透测试,获取目标用户名、数据库表等信息。准备阶段攻击机器: Kali(装有nmap)目标机器:Windows Server 2019 (安装SQL …

2021-12-1
Web安全

通过某大学生的的毕业设计复习java-sql审计 

  sql注入原理:业务端代码从客户端接收到恶意payload之后没有进行过滤直接进行sql语句拼接并且执行造成sql注入本人正在拜读一本代码审计的书感觉非常的棒,刚刚好室友在挑战…

2021-11-30
Web安全

一篇文章弄懂暴力拆解safe-unlink 

前言今天(2021.11.28)NCTF的题目让我大开眼界,上来最低利用版本都是2.31,新生都如此生猛了吗,由于我比较菜只搞定了这个ezheap,2.33版本的题目我也是第一次做,花了1个小时fuz…

2021-11-26
CTF

对一道n1ctf赛题的详细分析 

最近做了一道N1CTF2021的题目,学到了不少,分享给大家共同学习。0x01 题目详情题目如下:源码如下:<?php //flag is /flag $path=$_POS…

2021-11-24
CTF

对一道ctf赛题的详细分析 

0x01 前言最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指…

2021-11-18
Web安全

CTF高质量PWN题之二叉树的漏洞利用 

分享一道CTF线下比赛中由c++编写的一道高质量赛题。附件领取:链接: https://pan.baidu.com/s/1k3Wmf64yqRPW517rQKT_Wg 密码: qpwb初步分析程序运行…

2021-11-16
Web安全

一篇文章弄懂mysql8新特性注入 

前言最近打比赛的时候遇到了mysql8的知识点,这里就从环境搭建开始到注入一起一步步慢慢学习。环境搭建我这里是用docker在服务器上拉的,然后用navicat来看的下载docker pul…

2021-11-11
资讯

从一个信息泄露获取多本cnvd证书的过程 

前言个人在无事的时候喜欢逛cnvd官网,查看最近出的一些漏洞,以及去尝试挖掘,在此过程中让自己的能力提升,运气好的情况下说不定还能获取证书(小小的想法,嘿嘿)。    寻…

2021-11-8
Web安全

巧用进程隐藏进行权限维持 

基础知识进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当…