随笔分类 -  实战经验分享

1 2 3 4 5 ··· 19 下一页
实战操作的网安经验分享
B-Link X26路由器Web服务风险挖掘
摘要:在对B-Link X26 V1.2.8 路由器固件进行安全审计时,发现其在处理特定输入的过程中存在命令注入溢出漏洞。该漏洞的成因在于程序未对用户传入的数据进行严格的合法性校验,直接拼接进入系统命令,攻击者可以借此注入并执行任意代码。 阅读全文
posted @ 2025-09-18 09:16 蚁景网安实验室 阅读(34) 评论(0) 推荐(0)
应急响应:某网站被挂非法链接
摘要:最近应急,遇到一起官网非法链接事件。使用百度搜索引擎语法site:www.网站域名 搜索某关键字,会出现一堆结果。并且只有百度搜索引擎可以搜索出来,其他的都没有记录。 阅读全文
posted @ 2025-09-11 09:05 蚁景网安实验室 阅读(58) 评论(0) 推荐(0)
Tenda AC20路由器缓冲区溢出漏洞分析
摘要:在对 Tenda AC20 路由器 进行安全分析时,发现其固件在处理特定输入时存在缓冲区溢出漏洞。该漏洞源于程序在拷贝用户输入时缺乏有效的边界检查,攻击者可以通过构造恶意请求触发溢出,从而导致系统崩溃,甚至在某些场景下获得更高权限,进而完全控制设备。 阅读全文
posted @ 2025-09-08 14:12 蚁景网安实验室 阅读(50) 评论(0) 推荐(0)
某路由器二进制漏洞挖掘过程
摘要:半个月前,我在对Wavlink品牌WL-NU516U1型号路由器进行安全测试时,发现其管理界面存在一处命令注入漏洞。该漏洞源于系统对用户输入过滤不严,攻击者可通过特制的HTTP请求在设备中执行任意系统命令,从而完全控制设备。经过深入分析与验证,确认该漏洞具有高危害性,可导致设备被完全接管。 阅读全文
posted @ 2025-08-28 11:35 蚁景网安实验室 阅读(211) 评论(0) 推荐(0)
在线旅游及旅行管理系统项目SQL注入
摘要:之前在网上随便逛逛的时候,发现一个有各种各样的PHP项目的管理系统,随便点进一个查看,发现还把mysql版本都写出来了,而且还是PHP语言。 阅读全文
posted @ 2025-08-25 13:45 蚁景网安实验室 阅读(63) 评论(0) 推荐(0)
Android四大组件安全漏洞实战
摘要:Android 四大组件Activity、Service、Broadcast Receiver和Content Provider是应用程序的核心组成部分,但如果实现不当,会引入严重的安全漏洞。本文将详细分析各组件常见的安全漏洞,通过漏洞代码逻辑基于 drozer 的利用方式,能够更清楚的了解具体漏洞的原理以及利用方法。 阅读全文
posted @ 2025-08-20 14:56 蚁景网安实验室 阅读(59) 评论(0) 推荐(0)
意外搞出的免杀 Webshell 实战之织梦 CMS 到 RCE
摘要:书接上文,在上次意外搞出的免杀 webshell 条件下,最近又去审计了一个织梦 CMS,最后成功利用免杀 webshell 实现了 RCE,本文讲述其审计过程和思路。 阅读全文
posted @ 2025-08-18 08:57 蚁景网安实验室 阅读(59) 评论(0) 推荐(0)
记一次内网横向破解管理员密码
摘要:首先一波信息收集过后,把最后收集的到的 url 拿到 httpx 去做一下存活检测,httpx 测活一下,测完活之后,搞波指纹。指纹到手,这边一般我都是拿高危指纹去漏扫一下,然后找到了一个站点... 阅读全文
posted @ 2025-08-13 10:48 蚁景网安实验室 阅读(151) 评论(0) 推荐(0)
蚁景科技应邀出席2025年网络安全技术创新与人才教育大会 共促网安人才生态建设
摘要:2025年8月9日,在湖南长沙,一场网络安全领域的盛会 ——“2025年网络安全技术创新与人才教育大会” 圆满落下帷幕。蚁景科技作为网络安全人才教育领域的标杆企业,荣幸受邀出席此次大会。 阅读全文
posted @ 2025-08-12 15:04 蚁景网安实验室 阅读(37) 评论(0) 推荐(0)
一次暗链应急响应
摘要:该恶意链接可能是cdn站点被劫持了导致的。而这cdn链接,很多公司,乃至很多开发框架,都是使用的该链接,影响范围之大,难以想象。 阅读全文
posted @ 2025-08-07 15:46 蚁景网安实验室 阅读(68) 评论(0) 推荐(0)
赋能网安教育,锻造精锐师资——2025网络安全高级研修班圆满落幕
摘要:2025年7月28日至8月1日,在中国网络空间安全人才教育论坛的指导下,由湖南蚁景科技有限公司主办的“2025网络安全高级研修班”在星城长沙成功举办并圆满落幕。 阅读全文
posted @ 2025-08-07 10:02 蚁景网安实验室 阅读(53) 评论(0) 推荐(0)
蚁景科技助力湖南烟草网络安全竞赛,筑牢行业安全防线
摘要:近日,行业网络和数据安全竞赛湖南烟草商业系统赛区预赛盛大开启。此次竞赛作为深入贯彻网络强国重要思想、大力推进网络和数据安全体系建设的积极探索,意义非凡。而在背后为竞赛顺利开展提供坚实保障的,正是湖南蚁景科技有限公司。 阅读全文
posted @ 2025-08-07 08:54 蚁景网安实验室 阅读(108) 评论(0) 推荐(0)
wiz2025 挑战赛从 SpringActuator 泄露到 s3 敏感文件获取全解析
摘要:经过几周的利用和权限提升,你获得了访问你希望是最终服务器的权限,然后可以使用它从 S3 存储桶中提取秘密旗帜。但这不会容易,目标使用 AWS 数据边界来限制对存储桶内容的访问。 阅读全文
posted @ 2025-07-24 15:38 蚁景网安实验室 阅读(51) 评论(0) 推荐(0)
浅谈代码审计+漏洞批量一把梭哈思路
摘要:最近在学习 SRC 的挖掘,常规的 SRC 挖掘就是信息泄露,什么逻辑漏洞什么的,什么越权漏洞,但是说实话,挖掘起来不仅需要很多时间,而且还需要很多经验,当然其实还有一种挖掘的办法,就是利用刚出的 1day 去批量扫描,如果自己会代码审计的话,就再好不过了,下面给大家分享分享整个过程是怎么样的。 阅读全文
posted @ 2025-07-16 14:30 蚁景网安实验室 阅读(127) 评论(0) 推荐(0)
精准定位文件包含漏洞:代码审计中的实战思维
摘要:最近看到由有分析梦想 CMS 的,然后也去搭建了一个环境看了一看,发现了一个文件包含漏洞的点,很有意思,下面是详细的复现和分析,以后代码审计又多了一中挖掘文件包含漏洞的新思路。 阅读全文
posted @ 2025-07-09 10:07 蚁景网安实验室 阅读(52) 评论(0) 推荐(0)
浅谈 webshell 构造之如何获取恶意函数
摘要:这篇文章主要是总结一下自己学习过的 “恶意函数” 篇章,重点是在如何获取恶意函数。 阅读全文
posted @ 2025-07-04 17:49 蚁景网安实验室 阅读(35) 评论(0) 推荐(0)
这你敢信,复习PHP意外搞出一个免杀WebShell
摘要:正当我饶有兴致的开始复习 PHP 开发这个课程,准备一天速通期末考试的时候,没想到有心栽花花不开,无心插柳柳成荫,意外灵感突发,搞出了一个还算可以的免杀的 WebShell,下面讲讲思路。 阅读全文
posted @ 2025-07-01 14:16 蚁景网安实验室 阅读(101) 评论(0) 推荐(1)
喜讯!蚁景科技获评湖南省“专精特新”中小企业
摘要:近日,湖南省工业和信息化厅公示了 2025 年湖南省专精特新中小企业认定名单,湖南蚁景科技有限公司凭借在网络安全领域的卓越表现,成功入选。 阅读全文
posted @ 2025-06-25 10:40 蚁景网安实验室 阅读(52) 评论(0) 推荐(0)
TongWeb闭源中间件代码审计
摘要:应用服务器 TongWeb v7 作为基础架构软件,位于操作系统与应用之间,帮助企业将业务应用集成在一个基础平台上,为应用高效、稳定、安全运行提供关键支撑,包括便捷的开发、随需应变的灵活部署、丰富的运行时监视、高效的管理等。本文对该中间件部分公开在互联网,但未分析细节的漏洞,进行复现分析。 阅读全文
posted @ 2025-06-23 13:42 蚁景网安实验室 阅读(81) 评论(0) 推荐(0)
荣耀登顶 | 蚁景科技勇夺第137届广交会测试赛团体冠军
摘要:近日,第137届广交会网络平台测试赛(第九期《方班演武堂》活动)圆满落幕,蚁景科技在比赛中展现出了卓越的技术实力和团队协作精神,最终以总积分 546 分的绝对优势,首次荣膺广交会测试赛团体冠军。 阅读全文
posted @ 2025-06-18 10:40 蚁景网安实验室 阅读(49) 评论(0) 推荐(0)

1 2 3 4 5 ··· 19 下一页