安全技术

旭达网络

AI与安全「2」:Attack AI(3)破坏模型完整性——数据投毒攻击

更新日期:2020/05/21 黑客书籍

声明:本文 【AI与安全「2」:Attack AI(3)破坏模型完整性——数据投毒攻击】 由作者 vera 于 2020-05-21 08:59:30 首发 先知社区 曾经 浏览数 91 次 感谢 vera 的辛苦付出! 前言 本文是《AI与安全》系列文章的第三篇。在前文中,我们介绍了Attack AI的基础概念,即黑客对AI发起的攻击,主要可以分为三种攻击类型,破坏模型完整性、可用性和机密性的...

CSZ CMS 1.2.7 xss分析与复现

更新日期:2020/05/21 黑客书籍

声明:本文 【CSZ CMS 1.2.7 xss分析与复现】 由作者 cru**** 于 2020-05-21 08:57:13 首发 先知社区 曾经 浏览数 99 次 感谢 cru**** 的辛苦付出! CSZ CMS 1.2.7 xss分析与复现 简介 CSZ CMS是一个开源Web应用程序,允许管理网站上的所有内容和设置。CSZ CMS是在Codeigniter3的基础上构建的,并设计了B...

旭达网络

YCCMS代码审计(新手教学方向)

更新日期:2020/05/21 黑客书籍

声明:本文 【YCCMS代码审计(新手教学方向)】 由作者 爱吃猫的闲鱼 于 2020-05-21 08:59:52 首发 先知社区 曾经 浏览数 117 次 感谢 爱吃猫的闲鱼 的辛苦付出! 前言 在逛CNVD时发现这款CMS存在不少常见的漏洞,并且看样子漏洞没有修复,一时好奇就下载下来看了看。经过简单的分析发现该CMS触发漏洞的方式挺常见的,正好可以从代码方面 分析一下这些漏洞的成因,加深对...

旭达网络

记一次excle xxe漏洞

更新日期:2020/05/21 黑客书籍

声明:本文 【记一次excle xxe漏洞】 由作者 LSA 于 2020-05-21 09:00:16 首发 先知社区 曾经 浏览数 131 次 感谢 LSA 的辛苦付出! 0x00 概述 Microsoft Office从2007版本引入了新的开放的XML文件格式,基于压缩的ZIP文件格式规范,改后缀名为zip再解压缩可以发现其中多数是描述工作簿数据、元数据、文档信息的XML文件。 许多网...

旭达网络

SSTI模板注入(Python+Jinja2)

更新日期:2020/05/20 黑客书籍

声明:本文 【SSTI模板注入(Python+Jinja2)】 由作者 星盟安全团队 于 2020-05-20 09:29:03 首发 先知社区 曾经 浏览数 130 次 感谢 星盟安全团队 的辛苦付出! cl4y@星盟 [toc] SSTI模板注入(Python+Jinja2) 之前有做过一些SSTI的ctf,但是没有系统的学习,今天来总结一下。 前提知识 python、flask、jinj...

旭达网络

蚁剑改造过WAF系列(三)

更新日期:2020/05/20 黑客书籍

声明:本文 【蚁剑改造过WAF系列(三)】 由作者 1z52**** 于 2020-05-20 09:30:47 首发 先知社区 曾经 浏览数 0 次 感谢 1z52**** 的辛苦付出! Author: lz520520@深蓝攻防实验室 0x00 前言  前两篇从蚁剑的介绍,编解码器的功能讲解,到源码分析和解码器的改造,其实已经实现了大部分流量的加密传输,只要在设计一个简单的加密算法即可,比如...

旭达网络

无字母数字webshell进阶收藏版

更新日期:2020/05/19 黑客书籍

声明:本文 【无字母数字webshell进阶收藏版】 由作者 G0blin 于 2020-05-19 09:29:29 首发 先知社区 曾经 浏览数 2 次 感谢 G0blin 的辛苦付出! 收藏即为会了!!!!!! 还没有看过P神两篇文章的走这里 一些不包含数字和字母的webshell 无字母数字webshell之提高篇 Unicode码运用 1.原理 P神在他文章中指出: 我们可以使用[]...

旭达网络

代码审计:PbootCMS2.07内核处理缺陷导致的一个前台任意文件包含漏洞分析

更新日期:2020/05/19 黑客书籍

声明:本文 【代码审计:PbootCMS2.07内核处理缺陷导致的一个前台任意文件包含漏洞分析】 由作者 P3rh4ps 于 2020-05-19 09:30:38 首发 先知社区 曾经 浏览数 1 次 感谢 P3rh4ps 的辛苦付出! 挖出来之后看了下官网发现不到半个月之前更新了最新版,下下来之后发现这洞修了..我吐了 干脆直接发出来 分享下思路吧 0x00漏洞分析 漏洞发生在PbootCM...

旭达网络

蚁剑改造过WAF系列(二)

更新日期:2020/05/19 黑客书籍

声明:本文 【蚁剑改造过WAF系列(二)】 由作者 1z52**** 于 2020-05-19 09:30:15 首发 先知社区 曾经 浏览数 8 次 感谢 1z52**** 的辛苦付出! Author: lz520520@深蓝攻防实验室 0x00 前言  上一篇讲过了编码器和解码器,本篇会讲解蚁剑源码部分,添加asp/aspx解码模块,来实现asp/aspx的加密回显。 0x01 蚁剑源码介绍...

SaltStack CVE-2020-1165111652 分析

更新日期:2020/05/19 黑客书籍

声明:本文 【SaltStack CVE-2020-11651⁄11652 分析】 由作者 kevinsa 于 2020-05-19 09:31:00 首发 先知社区 曾经 浏览数 5 次 感谢 kevinsa 的辛苦付出! SaltStack是一种基于C/S架构的服务器基础架构集中管理平台,最近披露出存在两个安全漏洞 CVE-2020-11651 权限缺陷、CVE-2020-116...

旭达网络

一次稍显曲折的爆破经历

更新日期:2020/05/18 黑客书籍

声明:本文 【一次稍显曲折的爆破经历】 由作者 Bughunter 于 2020-05-18 09:39:57 首发 先知社区 曾经 浏览数 187 次 感谢 Bughunter 的辛苦付出! 拿到手域名一个 cc.test.com 打开后直接就是一个登陆框 随手输入admin准备打密码,提示管理员不存在 说明此处可以爆破用户名,使用字典爆破得到三个用户名 test wangw wangy 登陆...

旭达网络

CSZ CMS 1.2.7 xss分析与复现

更新日期:2020/05/18 黑客书籍

声明:本文 【CSZ CMS 1.2.7 xss分析与复现】 由作者 cru**** 于 2020-05-18 09:40:47 首发 先知社区 曾经 浏览数 142 次 感谢 cru**** 的辛苦付出! CSZ CMS 1.2.7 xss分析与复现 简介 CSZ CMS是一个开源Web应用程序,允许管理网站上的所有内容和设置。CSZ CMS是在Codeigniter3的基础上构建的,并设计了...