黑客

合天网安实验室13 天前
黑客·源码
从字节码开始到ASM的gadgetinspector源码解析(一)目前在CTF比赛中,对于Java反序列化基本上靠codeql、tabby等工具分析利用链,tabby基于字节码的特性会更准确一些。而gadgetinspector作为一个有些年头的基于ASM对字节码进行分析的自动化反序列化链挖掘工具,虽然在实际场景使用中用到的不算很多,但是经过一些功能上的补足和二开后也提高了一部分的准确率。我们主要通过二开后的gadgetinspector来学习一下作者是如何通过ASM来对字节码进行处理并跟踪污点流进行分析。在分析gadgetInspector之前,我们要先对字节码的相关
合天网安实验室18 天前
黑客
MIPS栈溢出漏洞实战解析:从DVRF题目看ROP链构造最近导师要搞IOT漏洞挖掘项目,我得找找IOT学习资料,DVRF就适合IOT设备漏洞挖掘从入门到入坟....(bushi
用户277844910499319 天前
安全·黑客
Python使用Wappalyzer进行Web技术栈分析:揭秘网站技术秘密在当今数字化时代,了解一个网站的技术栈对于开发者、测试人员和安全研究人员来说至关重要。Wappalyzer是一款强大的工具,可以帮助我们快速识别网站所使用的技术栈,包括前端框架、后端服务、CMS系统等。结合Python,我们可以进一步自动化分析流程,提升效率。本文将详细介绍如何使用Wappalyzer进行Web技术栈分析,并通过Python实现自动化。
曼岛_1 个月前
ubuntu·网络安全·黑客
【零基础实战】Ubuntu搭建DVWA漏洞靶场全流程详解(附渗透测试示例)DVWA(Damn Vulnerable Web Application)是专为网络安全学习者设计的漏洞演练平台,包含SQL注入、XSS、文件包含等10大Web漏洞模块,采用PHP+MySQL架构,非常适合用于:
big凉笙墨染1 个月前
前端·安全·黑客
Web安全小白看不懂HTTP协议?一文带你精通HTTP基础知识,Web安全入门必读【娱乐篇】![樱花纹章与SSL证书锁形图标融合]作者:凉笙墨染 | 2025年4月15日樱花季的网络安全课又来了!SSL证书如何用加密技术为数据披上樱花和服?黑客的“美学破坏”又该如何反杀?本文用零代码图解和话术,带你看透HTTPS的温柔陷阱与致命浪漫!
三秋树1 个月前
后端·python·黑客
BUUCTF 【l33t-hoster】PHP 利用 Linux 环境变量 LD_PRELOAD bypass disable_function访问题目,发现注释中有提示: 访问源码分析一下源码:可以看的出来,限制还是挺多的首先限制了后缀,按理来说 PHP 大写就可以绕过了的,但是这里好像不行,不清楚到底为什么,看来我还是没有学到精髓。
星尘安全1 个月前
网络安全·黑客·ddos·网络攻击·黑客攻击
比利时政府网站再遭黑客攻击,我们应当如何应对DDoS?2025年3月24日,比利时政府门户网站MyGov.be、瓦隆大区议会平台等核心政务系统因俄罗斯黑客组织NoName057发起的分布式拒绝服务攻击(DDoS)陷入瘫痪。这已是比利时近5年内的第二次国家级网络危机——2021年,黑客对Belnet网络服务商的DDoS攻击曾导致全国200余个机构断网,直接经济损失超2亿美元。
合天网安实验室1 个月前
黑客
FlowiseAI 任意文件写入漏洞(CVE-2025–26319)Flowise是一款与LangChain兼容的开源低代码工具,使普通用户和开发人员都能通过可视化连线方式创建LLM工作流和AI应用。然而该平台存在严重的文件上传漏洞——尽管Flowise实施了上传校验机制,攻击者仍可通过特殊编码绕过限制,实现任意目录的文件写入。这一安全缺陷使未经授权的攻击者能够上传恶意文件、脚本或SSH密钥,从而获取对托管服务器的远程控制权,对使用该平台构建AI代理的组织构成重大安全威胁。
big凉笙墨染2 个月前
java·安全·黑客
《Java反序列化漏洞:从readObject到安全风险全解析》序列化和反序列化过程中,有两个非常重要的方法,就是 writeObject 和 readObject。
星尘安全2 个月前
网络安全·黑客·github·ruby·网络攻击
GitHub 发现 ruby-saml 严重漏洞,账户安全岌岌可危开源的 ruby - saml 库中,近日披露了两个极为严重的安全漏洞。这两个漏洞等级颇高,可能会让恶意攻击者有机可乘,绕过安全断言标记语言(SAML)的身份验证保护机制。
合天网安实验室2 个月前
安全·黑客·逆向
安全测试中的js逆向实战一、简介对于常见的web或者h5的场景中,一些重要的系统都会对于参数或者敏感数据进行校验,防止被恶意篡改而利用。因此在安全测试过程中,对于一些越权、注入等测试,需要对参数值进行修改重放,那么这个过程是否能够成功第一步取决于是否可以搞定校验算法并成功绕过。因此本文主要介绍安全测试中常用的一些js逆向的技术手段。
星尘安全3 个月前
网络安全·黑客·漏洞·远控·后门
黑客利用 Telegram API 传播新的 Golang 后门Netskope 的网络安全研究人员发现了一种新型的、具备一定功能但可能仍处于开发阶段的基于 Golang 语言编写的后门程序,该程序利用 Telegram 进行指令与控制(C2)活动。这种恶意软件(Trojan.Generic.37477095)疑似源自俄罗斯,它借助 Telegram 这类云服务达成恶意目的。对攻击者而言,这些云服务使用便捷,而研究人员却难以对其进行有效监控。利用这种方式进行 C2 通信,攻击者无需搭建专门的基础设施,OneDrive、GitHub 和 Dropbox 等其他云平台同样
qq_243050793 个月前
linux·web安全·网络安全·黑客·渗透测试·信息收集·kali linux
sslh:多协议端口复用工具!全参数详细教程!Kali Linux 教程!黑客渗透教程!SSLH让一个人接受HTTPS,SSH,OpenVPN,TINC和XMPP连接 同一端口。这使得可以连接到这些服务器中的任何一个 港口443(例如,从公司内部的防火墙内部几乎永远不会阻止端口443)仍在该端口上提供HTTPS时。
qq_243050793 个月前
linux·网络安全·黑客·渗透测试·信息收集·kali linux·黑客工具
sslscan:快速 SSL/TLS 扫描器!全参数详细教程!Kali Linux教程!黑客渗透教程!sslscan 查询 SSL/TLS 服务(如 HTTPS)并报告协议版本、密码套件、密钥交换、签名算法和正在使用的证书。这有助于用户从安全角度了解哪些参数较弱。
qq_243050793 个月前
linux·web安全·网络安全·黑客·渗透测试·信息收集·kali linux
swaks:瑞士军刀 SMTP,通用 SMTP 传输测试器!全参数详解!Kali Linux教程!黑客入门教程!swaks(瑞士军刀 SMTP)是一个用 Perl 编写的命令行工具 用于测试 SMTP 设置;它支持 STARTTLS 和 SMTP AUTH(PLAIN、 登录、CRAM-MD5、SPA 和 DIGEST-MD5)。 swaks 允许人们停止 任何阶段的 SMTP 对话框,例如检查 RCPT TO:实际上没有 发送邮件。
qq_243050794 个月前
运维·网络·web安全·网络安全·黑客·渗透测试·kali linux
Netmask:网络掩码生成和转换程序!全参数详细教程!Kali Linux 教程!黑客渗透测试!网络掩码生成和转换程序如果您使用防火墙或路由器,这是一个非常方便的小程序偶尔(可能使用它作为 shell 脚本的助手)。它可以确定指定主机范围的最小网络掩码集。 它还可以在常见的 IP 网络掩码和地址格式之间进行转换。
qq_243050794 个月前
linux·网络·web安全·网络安全·黑客·渗透测试·系统安全
irpas:互联网路由协议攻击套件!全参数详细教程!Kali Linux入门教程!黑客渗透测试!互联网路由协议攻击套件该软件包包含用于高级网络的程序集合操作、测试和调试。CDP 和路由注入器在生产网络中非常有用。 其他一些工具对于安全和防火墙测试也很有用。 最后,一些工具(例如 netenum)对于一般管理很有用。
帆船4 个月前
安全·黑客
渗透测试中的CDN挑战:识别和利用安全弱点随着互联网用户数量激增,网络流量不断增加,许多问题逐渐突显:为了解决这些问题,提高用户访问速度,优化信息传输效率,同时缓解源站服务器的压力,CDN(内容分发网络) 应运而生。
星尘安全5 个月前
网络安全·黑客·数据安全·勒索·数据泄露
科技巨头Cisco遭攻击,黑客提供 2.9 GB 数据样本下载部分数据泄露:黑客于 2024 年 12 月 16 日在泄露论坛上泄露了 2.9GB 的思科数据。暴露的记录:泄露的数据是一个 4.5TB 数据集的一部分,据称该数据集在 2024 年 10 月未受到思科的保护。
HackKong5 个月前
网络·学习·安全·web安全·网络安全·黑客·学习路线
网络安全不难,网络安全入门更简单!网络安全不难,网络安全入门更简单!可不要被它神秘的外衣给唬住了。只要你接下来认真听完我的讲解,虽然保证不了你能成为大神,但就算你学习能力再差那也能达到入门级别。