mOon

  • 三个bypass案例分享

    首发:土司论坛 案例1 文件上传 waf  bypass内容校验+后缀校验 已具备条件:上传处可上传任意类型的文件,但是平台存在waf,直接上传会被拦截 bypass后缀校验 利用…

    2023年11月1日
  • 记一次地级市攻防3W分

    都是很基础的操作,没什么特别的手法,第一次记录,大家看看就行了,也没啥特殊手法,刚毕业的脚本小子第一次打这么高分,记录一下,最后有些问题,望大佬指教,指出错误之处。 1► 前言 组…

    2023年11月1日
  • 记一次Oracle注入漏洞提权的艰难过程

     Part1 前言  大家好,我是ABC_123。前不久遇到一个Oracle注入漏洞,是搜索型的盲注漏洞,只能用折半法一个字符一个字符的猜解数据,使用sqlmap可以直接跑出来,经…

    2023年11月1日
  • webshell静态免杀的一些思路

    1.静态查杀绕过原理 顾名思义静态查杀就是杀软会检查webshell文件的内容,提取的文件特征将与已知的恶意模式进行比对。这些恶意模式可以是已知的病毒特征、恶意软件代码片段等。比如…

    2023年11月1日
  • 记一次有意思的远控样本分析

    现在公众号推文机制变了,只对常读和星标的公众号才展示大图推送 建议大家能把【moonsec】“设为星标”哦,否则可能就看不到了啦 暗月最近建立了数个攻防交流群 有兴趣 加微信 备注…

    2023年11月1日
  • 某次HW行动中艰难曲折的getshell

    0x00 前言 某次HW行动中,队友发现某集团的一个项目管理系统存在弱口令,至此开始了艰难的getshell之路。 0x01 开始操作         首先登陆系统寻找上传点,结果…

    2023年11月1日
  • GadgetInspector源码分析

    前言 GadgetInspector是2018年blackhatusa上面发布的一个自动化链子挖掘工具,通过asm的方法来对字节码进行静态的分析,以污点传播的方式来挖掘可能存在的链…

    2023年11月1日
  • 攻防演练总结

    转载于https://www.lmboke.com/archives/gong-fang-yan-lian-zong-jie 申明:文章中涉及操作均已提前获得客户授权许可,敏感信息…

    2023年9月28日
  • 记录一次通过不断FUZZ从而获取万元赏金

    0x01 前言       下午,一个老朋友发来一批资产让我找个有效漏洞,原因是厂商弄活动,提交有效漏洞可获取其奖品,那个奖品对朋友很有吸引力。 0x02 漏洞背景       一…

    2023年9月28日
  • 钓鱼文件应急溯源:方法篇

    恶意软件分析技术的市场 如今,恶意软件分析已是信息安全领域的一个整体产业: 发布保护产品的反病毒引擎实验室,高度专业化的专家小组,甚至恶意软件编写者本身也参与其中,他们争夺一个潜在…

    2023年9月28日

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息