2025年4月12日
WinAFL安装与运行【记录于2022年1月】
环境 系统环境:Windows10 Pro Visual Studio 2019(16) 必须为2019版! 所需工具 版本 下载地址 Visual Studio 2019 16 https://vi...
骨哥
2025年4月11日
从 Self XSS 到 RCE
前言 今天和大家分享一个国外白帽子在一个私有赏金项目上有趣发现的故事。 发现 通过 Subfinder白帽小哥发现一项服务只提供了一个注册表单和一个个人资料页面,此外,还可以注册参加不定期的特定调查。...
2025年4月10日
Android 原生组件模糊测试
环境: Ubuntu 20.04 x86/64 AFL++ 下载NDK https://developer.android.com/ndk/downloads 下载后解压,设置环境路径: ~/.bas...
2025年4月8日
让AI帮你快速完成逆向分析工作–GhidraMCP初体验
什么是MCP 一图胜千言: 通俗来讲,MCP 就是以更标准的方式让 LLMs 可以使用各种不同工具,更简单的可视化如下图所示: GhidraMCP GhidraMCP是一款让LLMs自主逆向工程应用程...
2025年3月25日
利用 API 和硬件黑客技术攻克数百万台智能电子秤
前言 国外白帽小哥在一次度假期间,注意到酒店健身房的一台电子秤屏幕上有一个奇怪的图标。 这是一个 WiFi 图标,人们决定将体重计连接到互联网是一个好主意,通过亚马逊搜索,可以看到大量设备带有 WiF...
2025年3月15日
如何通过搜索JS文件找到存储XSS的故事
前言 一次渗透测试中,白帽小哥发现了 2 处 CSRF 漏洞,但不幸的是 CSRF 不在赏金范围内。 于是小哥开始尝试搜索JS文件,白帽小哥通常的做法是利用Chrome的开发者工具搜索特定的关键字或A...
2025年3月14日
Tomcat CVE-2025-24813 从计算器到GetShell
漏洞原理: Content-Range 在 Tomcat 的HTTP PUT请求中主要用于实现大文件的分块传输。在文件上传未完成的情况下,内容会被临时存储在Tomcat的工作目录:$CATALINA_...
2025年3月12日
XXE漏洞利用完全指南
前言 XML 外部实体(XXE)漏洞是现代网络应用程序中最常被忽视但影响最大的漏洞之一。尽管它们似乎变得更难检测和利用,但其影响仍然严重,往往允许攻击者读取内部文件、访问内部网络,并在严重情况下甚至执...