🌲

The only important things in life are love and work.

深入理解XXE漏洞

深入理解XXE漏洞 XXE漏洞相关概念 XXE (XML External Entity Injection) 全称为 XML 外部实体注入,是一种发生于XML解析时的漏洞。由于解析引擎并未对XML外部实体加以限制,导致了攻击者可以用过注入恶意代码到XML中,致使服务器加载恶意的外部实体引发文件读取、SSRF、命令执行、拒绝服务等有危害的操作 如果你对以上概念都不太了解,看完你可能跟...

Posted by sule01u on December 6, 2023

JNDI注入抽丝剥茧

JNDI概念 首先第一个问题,什么是 JNDI? JNDI (Java Naming and Directory Interface),是Java平台提供的一个API,它允许Java应用程序访问不同的命名和目录服务。简而言之,JNDI为Java应用提供了一种统一的方式来查询和访问外部资源,如数据库、文件系统、远程对象等。 虽然有点抽象,但我们现在至少知道它是一个API接口; ...

Posted by sule01u on November 24, 2023

年轻人的第一个IDS

年轻人的第一个IDS 前情提要 流量重要性 流量能带来什么?流量就是当今社会变现的关键所在! 啊,不是说这个流量啊 在网络安全领域,不关你是做什么方向的安全,免不了需要一直跟网络打交道,跟流量检测的安全产品打交道,你看到的是一个一个的告警,告警之下到底都具体发生了啥?IDS/IPS/NDR到底在干啥?让我们一起来看看! IDS工作原理 捕获并分析网络数据包,寻找与预定义规则或异常...

Posted by sule01u on October 15, 2023

SBSCAN - Spring框架综合利用工具

SBSCAN - spring框架综合利用工具 一、SBSCAN 前情提要: 日常渗透过程中我们经常会遇到spring boot框架,通过资产测绘工具搜索我们也可以知道spring boot的资产非常多,最常见的需求就是我想测试是否存在敏感信息泄漏以及测试是否存在spring的相关漏洞,不想东拼西凑找工具,不如写一个吧! 这个工具能干啥: 用于检测站点是否存在Spring Boot...

Posted by sule01u on October 2, 2023

内网保姆车 - 发车啦

内网渗透实验 拓扑如下 逐步渗透 1. 拿下web所在主机 前置条件:已通过centos的web漏洞拿到shell, 比如搭建tomcat-CVE-2017-12165,进行内网渗透实验 学习目标:了解内网渗透 冰蝎连接centos中的webshell进行操作: ​ 使用冰蝎上传fscan,扫描内网,可以看到资产192.168.152.141存在ms17...

Posted by sule01u on October 2, 2023

特色标签
渗透测试 系统
关于我

嘎嘎干!!!