扫一扫
了解小程序
xxe原理解析
一:XML格式123456789101112131415161718<?xml version="1.0" encoding="utf-8"?> &…
浅析无回显的XXE(Blind XXE)
xml介绍XML是一种非常流行的标记语言,在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。外部实体对于在文档中创建…
第五空间-WriteUp
WEBdo you know解题思路SSRF 利用 gopher 模拟 POST 请求,访问 xxe.php,然后利用 xxe 来读文件index.php 里禁用了 preg_match(&…
Hackbar 2.3.1插件许可证限制绕过
今天在本地复现某漏洞时要用到Hackbar插件才发现谷歌浏览器将我原来用的Hackbar 2.1.3自动升级到了2.3.1,又得重新绕过它的许可证限制,所以就想着写这么一篇记录文章,希望能帮助到一些刚…
渗透测试-Getshell总结
无论是常规渗透测试还是攻防对抗,亦或黑灰产对抗、APT攻击,getshell 是一个从内到外的里程碑成果。我们接下来总结下常见拿shell的一些思路和方法。文中可能有一些不足之处,还望大…
这些年,我们一直追逐的漏洞利用神器
现在,也许我们所认为的漏洞利用工具神器,十年后,又该会是什么样子呢?可能大概就像我们现在看到以前的啊d注入工具的样子吧。近几日,我忽然思考这样一个问题:如果一种漏洞类型,让你推荐一款与之强相关的漏洞利…
OGeekCTF 2019 Writeups
WebLookAroundF12查看源码发现一个文件名奇怪的js,功能是定时发送请求.请求内容比较奇怪,猜测就是考点,xxe了.随便改了下xml,就发生500报错.尝试了下常见的payload,猜测逻…
MailEnable漏洞预警(CVE-2019-12923~CVE-2019-12927)
近日,邮件服务器MailEnable爆出了一组漏洞,第一时间进行跟踪以及分析预警。经研究发现,利用该组漏洞,攻击者可以实现用户数据增删改查、文件读取以及部分越权操作。MailEnable软件介绍Mai…
币虎安全招聘
CoinTiger平台是一家面向全球的创新数字资产交易平台,为全球的区块链爱好者提供多币种、多语言的现货币对交易服务。 CoinTiger交易平台的使命是为全球广大的数字资产爱好者提供优质…
深圳货拉拉诚聘安全人才
货拉拉2013年成立于香港,2014年进入中国大陆和东南亚市场(Lalamove),是一家从事O2O同城、即时、整车货运业务的“互联网+物流”企业,创始人兼CEO为周胜馥,其模式可以理解为“货运版滴滴…
从AWVS插件到伪代理扫描
0x00 前言AWVS作为非常强大的web漏洞扫描器,相信大家都不陌生。然而,AWVS必须运行在windows环境,对Linux用户来说,多了一层使用虚拟机的麻烦。鉴于此,我们对AWVS进行了一些简单…
wmic调用xsl文件的分析与利用
wmic调用xsl文件的分析与利用安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。0x00 前言Casey Smith@subTee在博客分享的一个技巧,使用wmic能够从本地或从U…
微汇金融招聘渗透测试工程师
微汇金融把互联网思想和支付清结算能力结合,为新金融市场提供全新工具和设施服务,致力于打造联邦制的新金融体系。 移动支付与互联网金融平台 我们正是这样一群互联网和金融的…
XXE攻击指南
现在许多不同的客户端技术,如web端,移动端,云端等使用XML向业务应用程序发送消息。为了使应用程序使用这些自定义的XML消息,应用程序必须去解析XML文档并检查格式是否正确。 本文将描述XML外部实…
谈一谈php://filter的妙用
php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个…
安识科技
先知社区
火绒安全
安天移动安全
armyzer0
一叶知安
瓦都剋
安天365团队
360核心安全
ChaMd5安全团队
Micropoor
京东SRC
Jianying
FormSec
Lemon
SP_editor
Gdevops 全球敏捷运维峰会
Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函
AutoSW 2021智能汽车软件开发大会
2021中国国际网络安全博览会暨高峰论坛
The 2nd AutoCS 2021智能汽车信息安全大会
贝壳找房2020 ICS安全技术峰会
全球敏捷运维峰会(Gdevops2020)
2020京麒网络安全大会
OPPO技术开放日第六期|聚焦应用与数据安全防护
EISS-2020企业信息安全峰会之上海站 11.27
CSDI summit中国软件研发管理行业技术峰会
2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会
EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)
看雪.安恒 2020 KCTF 春季赛
相约本地生活安全沙龙暨白帽子颁奖典礼