搜索中心

AK/SK（Access Key ID/Secret Access Key）即访问密钥，包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，公有云通过AK识别用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。简单来说，云AK/SK是用于生成用户跟云平台的API通信的访问凭据。其中SK是必须要保密的，不能通过任何途径泄露，否则就会产生安全问题。

本文仅用于参考和学习交流，对于使用本文所提供的信息所造成的任何直接或间接的后果和损失，使用者需自行承担责任。本文的作者以及本公众号团队对此不承担任何责任。请在使用本文内容时谨慎评估风险并做出独立判断。谢谢！

前段时间参加了某地HVV行动，取得了不错的成绩，故开篇记录一下在HVV中遇到的一些好的思路。此篇为HVV合集的第一篇，后续有好的思路会继续分享给大家。

某次hvv打点遇到的，这里我用靶场作为演示为大家提供一个sqlmap注入后，找网站绝对路径的思路

某公司平台系统存在敏感信息泄露漏洞，由于对swagger-ui未做好访问控制措施，导致攻击者可以通过swagger页面获取网站API信息，进而导致攻击者构造payload对系统API进行攻击。

看雪论坛作者ID：ngiokweng

中国人的“CPU焦虑”与治病良药。

如何系统地对办公应用云凭证攻击进行高效的后利用？对于这个问题，主要针对实战攻防技术研究的玄甲实验室，在实战面对了多种应用办公云凭证泄露场景后，有了进一步的思考。

近日，默安玄甲实验室发现网络上出现针对ThinkPHP3.2的远程代码执行漏洞。随即做出了分析和协助客户响应漏洞，防止在野利用的漏洞造成威胁。

默安玄甲实验室、业务支撑中心招贤！

漏洞概述该漏洞为2021年天府杯中使用的Adobe Reader越界写漏洞

本次通过篡改modprobe_path及USMA两种利用方式进行提权

漏洞描述：UAF类型的漏洞，通过伪造pool_rec内存池控制结构，可以篡改函数指针，从而达到任意命令执行。

最近看到一篇CVE-2021-44711 漏洞分析文章，打算从该漏洞开始学习 PDF 类型漏洞的分析与利用，根据文章的分析思路写出 EXP。

前段时间分析了JBoss 3873和4446端口下的反序列化，受影响的版本最晚已经是2011年发布的

3月29日，Spring Framework 存在远程代码执行漏洞，在 JDK 9 及以上版本环境下，远程攻

前言随着RASP技术的发展，普通webshell已经很难有用武之地，甚至是各种内存马也逐渐捉襟见肘

该漏洞为chrom中存在的一个UAF漏洞，此漏洞存在于chromium的Mojo框架中，利用此漏洞可以导致chrome与基于chromium的浏览器沙箱逃逸

本文介绍CVE-2022-21882漏洞，以及它如何绕过2021年2月修补的CVE-2021-1732的补丁

在分析漏洞的过程中，陆陆续续看到许多师傅的分析文章，于是参考之后结合自己的分析总结了一下。