蚁景科技

摘要： 最近在审计java的CMS，跟着文章进行nday审计，找准目标newbee-mall Version1.0.0，并跟着网上文章进行审计，没想到nday全部复现失败，但在一番审计后找到了一个新的漏洞点：ssrf，且在前台可以被用户触发。 阅读全文

摘要： 实战为主，近日2024年羊城杯出了一道Rust编写的题目，这里将会以此题目为例，演示Rust逆向该如何去做。关于Rust逆向，其实就是看汇编，考验选手的基础逆向能力。在汇编代码面前，任何干扰都会成为摆设。 阅读全文

摘要： 想要在挂了WAF的站点挖出高危，很难，因为这些站点，你但凡鼠标点快点，检测出了不正确动作都要给你禁IP，至于WAF绕过对于小白更是难搞。其实在众测，大部分漏洞都并非那些什么SQL注入RCE等等，而小白想要出高危，可能也只有寄托希望与未授权。 阅读全文

摘要： 深度学习作为人工智能的一部分，在许多领域中取得了显著的进展。然而，随着其广泛应用，深度学习模型的安全性也引起了广泛关注。后门攻击就是其中一种重要的威胁，尤其在网络空间安全领域中。 阅读全文

摘要： 本文介绍Linux内核的栈溢出攻击，和内核一些保护的绕过手法，通过一道内核题及其变体从浅入深一步步走进kernel世界。 阅读全文

摘要： 这道题比较有意思，而且因为我对misc并不是很熟悉，发现该题目将flag隐藏在图片的颜色属性，巧妙的跟踪到这些密文位置，拿下题目一血，还是很有参考学习意义的。 阅读全文

摘要： 在计算机安全中，后门攻击是一种恶意软件攻击方式，攻击者通过在系统、应用程序或设备中植入未经授权的访问点，从而绕过正常的身份验证机制，获得对系统的隐蔽访问权限。这种“后门”允许攻击者在不被检测的情况下进入系统，执行各种恶意活动。 阅读全文

摘要： Apache OFBiz 是一个开源的企业资源规划系统，提供了一整套企业管理解决方案。Apache OFBiz 在处理 view 视图渲染的时候存在逻辑缺陷，未经身份验证的攻击者可通过构造特殊 URL 来覆盖最终的渲染视图，从而执行任意代码。 阅读全文

摘要： 近期正值多事之秋，hvv中有CVE-2024-38077专项漏洞演习，上级police也需要检查辖区内存在漏洞的资产，自己单位领导也收到了情报，在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍，本文重点关注如何满足大批量探测的需求。 阅读全文

摘要： 我从第一个SQL注入漏洞原理学起,从sql-libas到DVWA,到pikachu再到breach系列,DC系列靶场,再到实战挖洞,发现靶场与实战的区别是极其大的。本文将以DC系列靶场为例子，分析靶场与实战的区别，同时分享实战思路与需要用到的一些工具插件。 阅读全文