摘要:Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。 文章目录: 1、Shiro rememberMe反序列化漏洞(Shiro-550) 1.1 漏洞原理 1.2 影响版本 1.3 漏洞特征 1.4 漏 阅读全文
posted @ 2020-11-27 16:35 Luminous~ 阅读(206) 评论(0) 推荐(0) 编辑
摘要:获取 webshell 进内网 测试主站,搜 wooyun 历史洞未发现历史洞,github, svn, 目录扫描未发现敏感信息, 无域传送,端口只开了80端口,找到后台地址,想爆破后台,验证码后台验证,一次性,用 ocr 识别,找账号,通过 google,baidu,bing 等搜索,相关邮箱,域 阅读全文
posted @ 2020-07-24 14:46 Luminous~ 阅读(701) 评论(0) 推荐(0) 编辑
摘要:渗透测试 一、渗透流程 信息收集漏洞验证/漏洞攻击提权,权限维持日志清理信息收集 一般先运行端口扫描和漏洞扫描获取可以利用的漏洞。多利用搜索引擎 端口扫描 有授权的情况下直接使用 nmap 、masscan 、自己写py脚本等端口扫描工具直接获取开放的端口和获取服务端的 banner 信息。 漏洞扫 阅读全文
posted @ 2020-07-24 14:41 Luminous~ 阅读(742) 评论(0) 推荐(0) 编辑
摘要:java编译篇 java编译过程: Java源代码 ——(编译)——> Java字节码 ——(解释器)——> 机器码 Java源代码 ——(编译器 )——> jvm可执行的Java字节码 ——(jvm解释器) ——> 机器可执行的二进制机器码 ——>程序运行 采用字节码的好处:高效、可移植性高 以下 阅读全文
posted @ 2020-07-16 18:04 Luminous~ 阅读(563) 评论(0) 推荐(0) 编辑
摘要:正文 "只有不努力的黑客,没有攻不破的系统"。 在SRC漏洞挖掘或渗透测试中,信息收集占很大一部分,能收集到别人收集不到的资产,就能挖到别人挖不到的洞。 项目已整理Gitbook文档,方便阅览:Information Collection Handbook 感谢:@cckuailong师傅由此项目整 阅读全文
posted @ 2020-07-10 17:11 Luminous~ 阅读(291) 评论(0) 推荐(1) 编辑
摘要:一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读其源码,而 阅读全文
posted @ 2020-06-11 16:56 Luminous~ 阅读(623) 评论(0) 推荐(0) 编辑
摘要:1 前言 信息是指事务运动的状态和方式,是事物的一种属性,在引入必要的约束条件后可以形成特定的概念体系,通常可以理解为消息、信号、数据、情报和知识等。对于企业而言,信息承载着企业的各种商业数据和机密情报,如专利技术,交易记录等,所以信息是一种资产,其价值地位不低于甚至高于设备资产,所以保证企业信息资 阅读全文
posted @ 2020-06-09 10:56 Luminous~ 阅读(484) 评论(0) 推荐(0) 编辑
摘要:零信任是由Forrester Research的分析师John Kindervag在2009开发,并在2010年正式提出的。在过去的10年间,随着云计算、移动互联等技术发展以及全球范围内部威胁的不断涌现,零信任越来越为产业界所接受。 Google从2011年开始探索和实践零信任,并在2014年发表了 阅读全文
posted @ 2020-06-08 16:51 Luminous~ 阅读(479) 评论(0) 推荐(0) 编辑
摘要:一. 背景 首先要说一下攻击者为什么会使用CMD命令混淆,它的目的是什么?首先举几个现实中的例子: 1. Emotet木马 Emotet一款著名的银行木马,首次出现于2014年年中。该木马主要通过垃圾邮件的方式传播感染目标用户,并通过脚本混淆、加密或编码方式来绕过AV检测,比如在垃圾邮件word附件 阅读全文
posted @ 2020-06-06 15:15 Luminous~ 阅读(427) 评论(0) 推荐(0) 编辑
摘要:现在最火爆的又是frida,该框架从Java层hook到Native层hook无所不能,虽然持久化还是要依靠Xposed和hookzz等开发框架,但是frida的动态和灵活对逆向以及自动化逆向的帮助非常巨大。 frida是啥? 首先,frida是啥,github目录Awesome Frida这样介绍 阅读全文
posted @ 2020-03-10 21:45 Luminous~ 阅读(762) 评论(0) 推荐(0) 编辑