mOon

  • 浅记一次某企业邮的XSS漏洞挖掘

    1 前言          一万年没有挖洞了,结果前几天搜东西的时候恰好遇到几个,感觉触发点有点意思,于是浅浅更新一下。…

    2024年6月19日
  • 原创 Paper | Windows 与 Java 环境下的 Redis 利用分析

    作者:薛定的饿猫@知道创宇404实验室 时间:2024年5月27日 1 前言 在最近的一次攻防演练中,遇到了两个未授权访问的 Redis 实例。起初以为可以直接利用,但后来发现竟然…

    2024年6月19日
  • 三个bypass案例分享

    首发:土司论坛 案例1 文件上传 waf  bypass内容校验+后缀校验 已具备条件:上传处可上传任意类型的文件,但是平台存在waf,直接上传会被拦截 bypass后缀校验 利用…

    2023年11月1日
  • 记一次地级市攻防3W分

    都是很基础的操作,没什么特别的手法,第一次记录,大家看看就行了,也没啥特殊手法,刚毕业的脚本小子第一次打这么高分,记录一下,最后有些问题,望大佬指教,指出错误之处。 1► 前言 组…

    2023年11月1日
  • 记一次Oracle注入漏洞提权的艰难过程

     Part1 前言  大家好,我是ABC_123。前不久遇到一个Oracle注入漏洞,是搜索型的盲注漏洞,只能用折半法一个字符一个字符的猜解数据,使用sqlmap可以直接跑出来,经…

    2023年11月1日
  • webshell静态免杀的一些思路

    1.静态查杀绕过原理 顾名思义静态查杀就是杀软会检查webshell文件的内容,提取的文件特征将与已知的恶意模式进行比对。这些恶意模式可以是已知的病毒特征、恶意软件代码片段等。比如…

    2023年11月1日
  • 记一次有意思的远控样本分析

    现在公众号推文机制变了,只对常读和星标的公众号才展示大图推送 建议大家能把【moonsec】“设为星标”哦,否则可能就看不到了啦 暗月最近建立了数个攻防交流群 有兴趣 加微信 备注…

    2023年11月1日
  • 某次HW行动中艰难曲折的getshell

    0x00 前言 某次HW行动中,队友发现某集团的一个项目管理系统存在弱口令,至此开始了艰难的getshell之路。 0x01 开始操作         首先登陆系统寻找上传点,结果…

    2023年11月1日
  • GadgetInspector源码分析

    前言 GadgetInspector是2018年blackhatusa上面发布的一个自动化链子挖掘工具,通过asm的方法来对字节码进行静态的分析,以污点传播的方式来挖掘可能存在的链…

    2023年11月1日
  • 攻防演练总结

    转载于https://www.lmboke.com/archives/gong-fang-yan-lian-zong-jie 申明:文章中涉及操作均已提前获得客户授权许可,敏感信息…

    2023年9月28日

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息