雷神众测

收藏 分享
  •   最新专题文章 | 本专题已发布资讯 20

Windows CryptoAPI ECC欺骗漏洞修复提示

1月14日,微软发布了2020年1月份月度安全更新公告,其中包含一个Windows最新版本(包括Windows 10、Windows Server 2016/2019、Windows Server 1803/1903/1909版本)中使用Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗的漏洞。此漏洞由美国国家安全局(NSA)发现并报告

雷神众测漏洞周报 2020.1.13-1.19-6

​以下预警内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

深入浅出学习—XXE

XXE(XML External Entity Injection)全称为 XML 外部实体注入,XXE的第二个字母 "X" 取自单词 "External" 的第二个字母,很好奇为什么不叫XEE(手动狗头) 话不多说,让我们进入今天的正题,对于 XXE 想要真正的了解它,就需要先来了解一下XML是什么。

Weblogic T3 反序列化漏洞(CVE-2019-2890 )分析

本文仅记录一下自己调试2890的一些过程,网上已经有两篇公开的文章了,所以自己上手调了一下这个漏洞,发现真的是个弟中弟的漏洞。

JAVA反序列化—FastJson抗争的一生

其实从一开始就是想着学一下fastjson组件的反序列化。结果发现完全理解不能。 就先一路补了很多其他知识点,RMI反序列化,JNDI注入,7u21链等(就是之前的文章),之后也是拖了很长时间,花了很长时间,总算把这篇一开始就想写的文,给补完了。

Log4j-Unserialize-Analysis

12/20 的时候就看到 Log4j 这个反序列化漏洞,看了眼影响版本 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 。心想这个组件用的人很多啊,几乎Java开发的系统用作日志记录都是这个组件,但是深入看看之后我才发现,这年底了原来大家都缺kpi啊。

论⾼级攻防团队建设⽅法论之思想的重要性(上)

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

Windows 好用的工具介绍(提高工作效率篇)

everything是基于名称快速定位文件和文件夹,不需要自己翻文件夹,只需要打开everything就能搜索到文件。

Java8线程池总结

Java中创建线程主要有三种方式

Oracle数据库安全思考之xml反序列化

在测试过程中,碰到oracle数据库,只发现存在一个低权限用户dm,由于权限不足无法进一步获取关键数据,同时无法进一步获取系统权限。

JDK反序列化Gadgets-7u21

从fastjson1.24版本的反序列化利用方式知道有使用jdk7u21的版本利用链,ysoserial利用工具中也有7u21利用链。现在都是7u80版本了,这个漏洞真正直接利用,估计已经很难找到了。 但是这个利用链的构造有很多之前没接触过的java特性,就此好好学习一下,也算是fastjson的前置知识吧。

超实用的谷歌Chrome插件推荐

Chrome浏览器拥有着良好的浏览体验,除了其流畅的运行之外,还有功能非常强大的扩展程序。通过扩展程序能够进行高效工作或增强体验。 添加插件可以通过谷歌应用商城添加,也可以通过crx文件添加。 使用crx文件添加时点击浏览器右上角的三个点,选择更多工具->扩展程序,将crx文件拖入该页面即可完成插件安装。

Python Web安全开发注意点

因为之前运用 django框架不规范的开发,写了一堆web漏洞,之后学习了一波web安全开发,做一个学习笔记。下面就针对这些常用问题做一些总结。都是基础,大神勿喷。

java命令执行小细节

熟知的在java下执行系统命令的代码 Runtime.getRuntime().exec() new ProcessBuilder().start() 众所周知,仅在命令前加了/bin/bash -c,才能使用特殊符号,如; | >等

Java反序列化过程深究

互联网上大家针对Java反序列化的讨论有很多了,但是这里我还是想聊聊,这里仅仅记录一下自己的学习笔记,之前我在Java 反序列化深究中讨论了为什么,通过重写 readObject 方法会导致反序列化的问题,当然后续整个过程我们也没继续,当然现在继续回来讨论这个事情。

HACKINGDAY 广州站活动报名

前两天还艳阳高照 现在就已套上秋裤 北方已经开始供暖 不南不北的只能靠

ATT&CK攻防初窥系列--命令执行

如果要评选网络安全界近年热词排行的话,那么ATT&CK这个词一定是稳居top3的。我们经常看到关于ATT&CK的一些技术文章分享,那么ATT&CK到底是什么呢?

© Copyright 2019 - 北京易安乾坤信息科技有限公司&E安全. 京ICP备16011365号-3