基本概念: 不同的厂商对对象存储的叫法不同: 云厂商对象存储名阿里云OSS腾讯云COS华为云OBS谷歌云GCS微软云Blob亚马逊云S3 ——Bucket: 存储空间(Buc...
发简信
IP属地:四川
-
云安全——对象存储安全 -
JsRpc联动Burp绕过前端加密前言: 记录一次前端加密绕过之旅。 0x01 案情分析: 开局一个登录页面,发现表单中的密码进行了加密处理,首先要找到加密函数位置,定位相关js代码逻辑,常用的两种方式就是全...
-
微信小程序渗透Tips前言: 吃梅菜扣肉,喝听花白酒,撸淀粉肠子,品怨种人生。 小程序反编译: 0x01、获取代码包: PC端:默认存储位置:%USERPROFILE%\Documents\WeC...
-
某小众非知名cms代码审计简要分析: 从官网的论坛上没有找到开发文档,从jeecms-parent/jeecms-common/pom.xml中可以发现应用系统使用了QueryDsl。QueryDsl...
-
2023轻松打造自己的DnsLog平台0x01 前言: A long long time ago,我就有搭建DnsLog平台的想法了,但一直被懒惰所拖累。最近发现BP的Collaborator模块实在是很难令人恭...
-
2023轻松打造自己的MySQL蜜罐0x01 前言: 22年1月的时候,我去学习了Mysql蜜罐服务器的原理及流量分析的整个过程,并找了个开源项目简单进行二次开发以获取攻击者个人信息,详情请见:Mysql蜜罐:...
-
组件版本漏洞检测工具的简单开发0x01 前言 在Java代码审计中,需要对引用的第三方组件进行审计,采用的审计方式经过了三个阶段: 前期:一个个收集引用的第三方组件和版本号,继而一个个询问度娘中期:了解并...
-
记一次开源cms的Java代审环境搭建: JEECG(J2EE Code Generation)是一款基于代码生成器的智能开发平台。引领新的开发模式(Online Coding->代码生成器->手工MER...
-
安服仔首次Java代审的学与思环境搭建: 本次审计为ofcms 1.1.3版本:https://gitee.com/oufu/ofcms/tree/V1.1.3/[https://gitee.com/ou...
-
Cobaltstrike反制方法小结本文仅作为学习记录,如有侵权,请联系删除! 0x01 批量伪装上线: 以HTTP Beacon为例,在CS的上线过程中,有一串很明显的加密Cookie,是非对称RSA加密类型...
-
Nessus漏扫安装指南下载 Nessus: 下载地址:https://www.tenable.com/downloads/nessus?loginAttempted=true[https://ww...
-
不出网主机上线方式小结0x01 中转上线(Reverse TCP Beacon): 也可以被称为中继上线,利用条件: 需要上传马儿到目标主机并执行 利用过程:1、右键选择代理转发——转发上线 监听...
-
-
Windows多种方式获取密码前言: 提桶跑路一个月了,平躺是真滴舒服,心宽体胖。后面一段时间直到hw结束,我打算把主要精力都放在免杀上面,不会点C真的寸步难行,或者就只能从go下手了 0x01 SSP记...
-
常见红队RCE漏洞利用小结Shiro: Apache Shiro是常见的Java安全框架,执行身份验证、授权、密码和会话管理。 历史维度: Shiro <= 1.2.4 :存在shiro-550反序列...
-
实战——红日ATT&CK系列靶场(一)前言: 在最近一年的工作中,很少能接触到内网渗透的工作,为了进一步锻炼内网渗透的能力,理清内网渗透中的思路及攻击手法,笔者打算对国内外的优秀内网靶场进行模拟实战训练,记录自己...
-
红队攻击之流量加密小结SSL加密的反弹shell: 0x01 使用OpenSSL对nc进行流量加密: 生成 SSL 证书的公钥/私钥对: 生成自签名证书时会提示输入证书信息,如果懒得填写可以一路回...