搜索中心

虽然是个好功能，但是部分内网业务还没做好https兼容，有的时候手工访问，还是变成https 解决办法： chrome://flags/ 找到：HTTPS Upgrades ，修改disabled ，重启解决，当然这个需要需要用户去调整，真正还需要服务去兼容https

预览

48人阅读

2024-07-19

审计搞了宝塔好几个版本，花了也不算短时间，屯了3个洞 1.一个命令执行 （有一定利用条件，最开始不能回显，配合DNSLOG完成回显） 2.一个不死后门（非官方，自留后门,用来持续维持权限） 适用 Linux/windows 测试版本： linux 7.9.8 Windows 6.7.0 Window

预览

预览

预览

55人阅读

2024-07-19

spring boot jasypt 加解密 jasypt 加密ENC() 需要启动参数秘钥 Druid 加密，需要public-key package com.example.demo; import com.alibaba.druid.filter.config.ConfigTools; imp

不算什么特别的，做个M1的记录，之前的网易mumu用intel的卡还慢，M1原生arm香起来。 1、下载Android Emulator android-emulator-m1-preview.dmg -> 自行去官网下吧，或者阿里云盘 不保证时效 （看到mp4修改dmg） android-emul

预览

预览

预览

预览

96人阅读

2024-07-19

SNAT: Source Network Address Translation，是修改网络包源 src ip地址的。DNAT: Destination Network Address Translation,是修改网络包目的 dst ip地址的。 1. SNAT 场景：云上的vm主机用户作为客户端

自己的chrome一直有新版本就更新，结果之前更新chrome 1password6的扩展就不能用了，新版本的扩展还要保存在服务端，显然不可接受。网上找到解决办法，整理如下： 1、我的1password6 版本（1Password 6 Version 6.8.9 (689001) AgileBits

预览

预览

预览

预览

52人阅读

2024-07-19

网上好多代码都是抄袭的，也有一些BUG，例如在3.6 做proxy 请求shell会404 解决如下： 原因获取headers中有host，直接带入requests headers，导致host不一致需要删除 支持GET请求转发 解决content-length # -*- coding: utf8

昨天下午同事刚好发来langchain使用OPENAI 来自然语言处理sqlite https://youtu.be/Tubl4scsXc4?si=Y_zOIrbkZVtndNoP 刚好有时间可以测一测玩玩 博主github:https://github.com/clairelovesgravy/l

预览

116人阅读

2024-07-19

来自看雪：Cocos2dlua手游 Lua解密与资源解密实战 https://mp.weixin.qq.com/s/WeYxlXZvCPv_3nGgeKdunw Cocos2dlua 逆向相关学习，略有删减，直接进入正文 APK大致如下： . ├── assets │ ├── res │ │ ├──

4.5K start 2K fork的项目，之前用了低版本的fastjson，新版本修复了。 https://gitee.com/ZhongBangKeJi/crmeb_java 之前用1.2.56版本fastjson，1.2.68公开的有fastjson commons-io AutoClosea

预览

预览

44人阅读

2024-07-19

博客很久没更新了，2023是艰难的一年。博客最近也更新的很少了，以前多多少少还会保持一个月至少一更新。 现在也并不是懒了，而是确实工作很忙，之前经常有小伙伴来告诉在订阅我的RSS，如果经常写水文对自己和其他人来说并没有什么帮助，二来，觉得如果要写就写一些高质量的文章。但很多0day又不方便放出来。

预览

49人阅读

2024-07-19

最近一直理财不行，基金、股市都不稳定，年后回来突发奇想决定买房，从想买、到看房、购房，1天完成，当天就交了定金。 大致流程： 看房前准备→实地看房→排号选房→提交购房资质审核资料，认购→草签，网签合同→付首付款→办理贷款→审批放贷→验房收房→交税→办房本 整理一下购房（新房、商品房）流程，供参考：

预览

预览

预览

预览

63人阅读

2024-07-19

lsnrctl启动实例startup报错 ORA-03113: end-of-file on communication channel $ su - oracle Step 1: You need to look at the alert log. It isn't in /var/log as

0x00 前言 入职以来好久没有写过文章了，入职的时间里也和师傅们学到了很多，认识了很多的新朋友。最近因为BlackHat 黑客大会的一个议题，PHP反序列化漏洞利用被挖掘出新的攻击面。这里本着记录学习的目的，有了这篇文章。 0x01 Phar 反序列化 你看到本文，我默认认为你已经对PHP反序列化

预览

预览

41人阅读

2024-07-19

0x00 前言 今天早上看到了国内几家安全媒体发了Joomla RCE漏洞的预警，漏洞利用的EXP也在Github公开了。我大致看了一眼描述，觉得是个挺有意思的漏洞，因此有了这篇分析的文章，其实这个漏洞的分析老外在博客中也写过了，本质上这是一个Session反序列化导致的RCE漏洞，由于Joomla

预览

54人阅读

2024-07-19

0x00 前言 Java反序列化的漏洞爆发很久了，此前一直想学习一下。无奈Java体系太过于复杂，单是了解就花了我很久的时间，再加上懒，就一直拖着，今天恰好有空，参考@iswin大佬两年前的分析，我自己跟踪了一下流程，并按自己的想法重写了一下POC，在此做个记录。 0x01 漏洞环境搭建 首先我们需

预览

预览

52人阅读

2024-07-19

漏洞原理简介 禅道项目管理系统的鉴权模块存在逻辑设计缺陷，可以允许攻击者利用无须授权的模块去内存中“伪造”一个合法用户，然后利用该用户访问需要授权的模块。从而调用危险的路由，导致命令执行。 环境搭建 点击下载，然后直接根据版本搜索需要的即可。官方提供了一键安装包，为了节省时间，我直接使用了Windo

预览

预览

预览

43人阅读

2024-07-19

前言 距离上次写博客转眼已过去快三年，“空白”的这三年中也曾遇到很多有趣可成文的东西，但是因各种原因未能在此畅快抒怀。而在忙中偷闲的时候，也曾反省自己，以免迷失。回想最初入行安全的时候，全因一本早期的黑客杂志而对漏洞研究有了独特的热情，再后来在Wooyun看过前辈们精彩的漏洞之后更加坚定的将漏洞研究

预览

预览

预览

预览

36人阅读

2024-07-19

0x00 前言 3月31日的时候Nexus Repository Manager官方发布了CVE-2020-10199，CVE-2020-10204的漏洞公告，两个漏洞均是由Github Secutiry Lab的@pwntester发现的。本着学习的态度，跟进学习了一下，于是有了此文。从漏洞的描述

预览

预览

预览

预览

42人阅读

2024-07-19

前言 前阵子我的一位朋友发来一份代码让我帮忙看看。具体就是所有的jsp文件内容和大小都一样，漏洞挖掘无从下手。经过分析发现所有的Class都使用了自定义的加密工具加密，经过逆向分析，顺利解密，因而有了此文。 初步分析 文件内容如下所示： 其他文件亦如是： 接着在tomcat work目录找到了编译后

预览

预览

预览

预览

47人阅读

2024-07-19

厂商

博智安全

62

0

博智安全专注以网络靶场和工业互联网安全细分领域为核心方向。

产品

安博通下一代安全边界网关

安博通

68

0

是一款公安、法院、医疗以及工控等业界领先的隔离类产品，融合了协议代理、文件同步、视频交换、数据库同步、邮件传输、安全浏览、工控安全等功能。包含网闸、光闸、数据交换平台等隔离产品。

厂商

安博通

69

0

安博通起步于2011年，以“看透安全，体验价值”理念为核心，是可视化网络安全专用核心系统产品与安全服务提供商。

厂商

圣博润

65

0

北京圣博润高新技术股份有限公司是一家专注于网络安全技术研究、产品研发和安全服务的高新技术企业。

厂商

蜚语科技

124

0

蜚语科技是一家专注于提供软件供应链安全创新解决方案的网络安全企业，成立于2019年。 蜚语科技孵化自上海交通大学计算机系，创始团队由4名博士组成，拥有十数年的前沿安全研究和一线安全业务经验。 。

厂商

启明星辰

463

0

启明星辰是国内具备超强实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。

产品

飒露紫ADR

薮猫科技

108

0

飒露紫 ADR （API Detection and Response）为企业提供专业的 API 安全解决方案。基于高性能流量 采集引擎及多维检测策略，对业务应用流量，进行动态画像，及全场景式流量清洗，充分发现 API 攻击事件、 业务风险及行为异常等安全问题，保障企业应用的每一次 API 调用。

产品

OneDNS

微步在线

89

0

微步 OneDNS® 是威胁情报赋能的企业级递归 DNS 服务，保护任意终端安全联网，有效防护恶意软件、勒索病毒、APT攻击、钓鱼链接、非法站点等多种新型高级威胁，实现检测、拦截、定位、取证一体化，帮助企业轻松搭建互联网安全DNS网关。

产品

x64dbg

91

0

适用于 Windows 的开源用户模式调试器。针对逆向工程和恶意软件分析进行了优化。

预览

预览

预览

预览

产品

云甲 - 云原生容器安全管理系统

安全狗

78

0

云甲·云原生容器安全管理系统——基于云原生安全（CNAPP）的概念，在整个云原生容器的安全生命周期中，采用自动检测、自动分析、自动处理的方式防御安全威胁。

厂商

壹进制

52

0

一家专注于数据安全领域，主营自主研发的数据保护与业务连续性管理产品、解决方案及服务的高科技企业。

厂商

北信源

81

0

北信源成立于1996年，注册资本14.5亿，2012年信息安全领域首批A股上市企业之一，现已成为数字经济时代智慧安全的全面产品提供商和解决方案提供商。

厂商

海云安

56

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

产品

RaySIN 互联网敏感信息监测系统

远江盛邦

83

0

互联网敏感信息监测系统（RaySIN）是盛邦安全针对泄露或暴露在互联网侧的网络资产、社会资产、社工情报等信息进行排查，提前防范，降低攻击风险的平台。

厂商

恒安嘉新

70

0

提供“云-网-边-端-用”综合解决方案的大数据智能运营运维产品，服务于产业互联网的科技工程企业，5G 时代的大数据智能运营专家

产品

EASM在线攻击面搜索引擎

零零信安

96

0

可以在线使用的攻击面搜索引擎

厂商

深信服

336

0

深信服科技股份有限公司是一家专注于企业级安全、云计算及基础架构的产品、服务和解决方案供应商，致力于让每个用户的数字化更简单、更安全

产品

ENScan_GO

141

0

一款基于各大企业信息API的工具，解决在遇到的各种针对国内企业信息收集难题。一键收集控股公司ICP备案、APP、小程序、微信公众号等信息聚合导出。

预览

预览

预览

预览

厂商

长亭科技

2.8k

3

长亭科技是国际顶尖的技术驱动型网络安全公司，专注为企业级用户提供高质量的应用安全防护解决方案，为企业用户带来更简单、更智能、更省心的安全产品及服务。

产品

应用安全检测分析

启明星辰

74

0

启明星辰的移动应用安全检测服务，通过自动化与人工检测相结合，全面覆盖风险点，快速发现并解决APP安全问题，提升应用安全性，满足法规要求，操作简便，性价比高。

厂商

梆梆安全

133

0

梆梆安全勇担“保护您的软件”使命，始终以客户为中心，通过专业的安全产品和服务为政府、企业、开发者和消费者打造安全稳固可信的网络空间生态环境。

厂商

吉大正元

63

0

吉大正元以密码技术为核心，开展信息安全软件的研发、生产和销售及服务，面向政府、军工、金融、能源、电信等重点行业和领域提供基于密码的可信身份认证等全方位解决方案。

厂商

绿盟科技

438

1

绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。

厂商

海泰方圆

53

0

北京海泰方圆科技股份有限公司是一家以密码全能力和可信数据治理为核心，全面服务于网信大时代的领军安全企业。

产品

百川网站安全监测

长亭科技

1.5k

5

一款专门为有站点检测需求的用户打造的监测工具，能够有效地监测用户配置的站点可用性、SSL证书合法性、过期时间以及网站路径扫描等功能。

预览

预览

预览

预览

厂商

盈高科技

57

0

盈高科技的安全产品涉及网络准入控制、零信任访问控制、终端安全管理、数据安全摆渡、视频网安全管理、IP资源管理等多个领域，涵盖企业、能源、电力、医疗等多个行业，已

产品

天清汉马数据防泄露系统

启明星辰

109

0

启明星辰的天清汉马USG数据防泄露系统（DLP）是一款自主研发的敏感数据保护产品。它通过分析数据内容、所有者和操作行为，提供直观视图，帮助管理者实时监控和保护企业敏感信息，防止数据泄露，确保信息安全。系统具备多层文档识别、多维智能检测和集中管理分析等技术优势，适用于多种行业，有效避免法律和商业风险。