2024年2月21日
Hello Lucee! 让我们再次黑掉Apple~
简介 去年,国外安全研究人员对 Adobe ColdFusion 中的多个漏洞进行了深入分析,获得了很多启发,其中之一涉及 CFM 和 CFC 处理、解析和执行。于是他们想知道是否还有其他 CFM...
85 搜索结果
搜索关键字 "rce".
2024年2月20日
开箱即用的Payloads
Payloads 字典: https://github.com/swisskyrepo/PayloadsAllTheThings https://github.com/cujanovic/Markdo...
2024年1月26日
2023年度精选文章
精选文章根据2023年阅读及分享数量由高至低排序筛选得出,分为漏洞系列、CTF系列和工具系列三个类别。 1.漏洞相关 【$ 20,000】通过发送消息黑掉任意公司-CVE-2021–34506...
2024年1月23日
手把手逆向分析混淆 JS 代码&处理签名哈希并实现工具化
在最近的一个漏洞赏金项目中,白帽小哥发现该网站在给每一个请求时(包括GET参数值)签名,从而阻止URL修改,他希望找出他们是如何实现这一点,并尝试找到绕过的方法。 白帽小哥在修改URL和GET参数值时...
2024年1月22日
绕过双因素认证至账户接管
背景说明 目标服务器存在WAF,一旦进行扫描尝试,就会立即封锁IP地址,因此只能手动渗透该目标。为了保密,暂将目标网站称为’redacted.com‘,这是一个管理物联网项目、...
2024年1月10日
组合拳法:漏洞利用链的艺术
概念 漏洞链的过程需要一组程序,允许黑客利用应用程序内的多个漏洞/缺陷的优势来实现最大化影响,一个简单的例子就是用XSS配合Opendirect重定向,然后用XSS链接实现账户劫持,然后再从SSRF到...
2024年1月4日
如何在Epic Games上赚到$7,000赏金
背景介绍 今天来看看国外白帽通过将一个简单的漏洞升级为可远程触发的代码执行漏洞,如何在Epic Games赏金计划中获得了7K奖励,当然,目前该漏洞已被修复,在此次漏洞挖掘过程中,白帽小哥学到了两样东...
2023年11月1日
Citrix滴血:CVE-2023-4966 泄漏Citrix会话Token
背景介绍 本月早些时候,Citrix 发布了一份安全公告,其中提到了“未经身份验证的缓冲区相关漏洞”和两个 CVE。这些问题影响了 Citrix NetScaler ADC 和 NetScaler G...
2023年10月7日
2023 Microsoft Office XSS
背景介绍 在服务器中,当从攻击者指定的链接解析视频时,视频标题中包含的恶意Payload可触发 XSS 攻击,从而允许执行任意 Javascript 代码。 环境说明 产品:Office Word,包...