欢迎加入晨星!
晨星安全团队:网络安全领域的公益先锋 团队介绍 晨星安全团队(MorningStar Security Team)是一个充满活力与使命感的非营利性网络安全公益组织。其成员汇聚了多所高校的优秀毕业生及在读学生,大家怀揣着对网络安全的热爱,共同致力于为网络安全爱好者及新手打造一个优质的成长平台。 团队背景 团队以 “技术共享、公益赋能” 为核心理念,依托星禾团队...
BUUCTF 内存溢出,payload = b'a' * 72 + p64(0x40060D)
异或盲注 话不多说,直接上题(BUUCTF) 登录页面如下: 寻找注入点,点击神秘代码发现会返回不同的信息,然后尝试 union、and 等关键字发现被屏蔽,如下 关键词被过滤了,使用不了报错注入、联合注入、bool 注入 因此想到了异或注入,经过尝试发现 ^ 符号未被过滤 异或注入原理 admin = 0 admin12 = 0 1admin ...
Yakit使用指南 Yakit和Burp Suite差不多,二者可交叉使用,都适用于Web渗透测试相关工作,如代理抓包、漏洞检测、数据包处理等场景。 优劣势 优势:相较于burpsuite,功能更强大,基础漏洞支持丰富,websocket重放更方便,并且支持国密证书,保存机制更好。 劣势:UI安排混乱,功能调用复杂,第三方插件没有burpsuite强大。 ...
SSTI模板注入 模板引擎的作用是将动态数据与模板文件(通常是HTML等标记语言文件)结合,生成最终输出内容。它的主要功能是帮助开发者更方便地构建可重用、易维护的Web页面或应用界面。 数据与视图分离:模板引擎使前端的界面设计和后端的数据逻辑解耦。前端开发者可以专注于页面的布局和样式,后端开发者可以处理数据和逻辑,两者之间通过模板引擎传递数据。 动态内容渲染...
NPS搭建与代理转发 NPS下载 服务端:安装在VPS上,提供代理服务 客户端:安装在目标设备(需被代理的机器),此处使用Windows客户端 我们需要提供NPS服务的就是服务端也就是我们的VPS,客户端就是我们获取shell的目标机,我们需要linux的服务端和windows的客户端。 打开VPS终端,查看系统版本 uname -a 不知道下哪个没关系,复...
Weblogic反序列化漏洞 Weblogic介绍Weblogic介绍 定义:Oracle公司推出的企业级Java EE应用服务器。 用途:用于开发、部署和管理分布式大型Web应用、网络应用和数据库应用。 特点:高可靠性、可扩展性、符合Java EE标准。 风险:广泛使用使其成为攻击者重点目标,反序列化漏洞尤为高危。 常用端口常用端口 Web控制台:7001...
RCE漏洞(二)
命令执行
PHP反序列化