搜索中心

在红队行动中经常会遇到拿到Webshell后找不到数据库密码存放位置或者是数据库密码被加密的情况(需要逆向代码查找解密逻辑)。在此提出两种在从运行时获取所有的数据库连接信息(密码)的方式

本故事纯虚构，如有雷同，纯属巧合

Codeql学习的第一周~

Ysomap 源码浅析

Bypass Authentication BurpSuit 插件

写在前面1. 这是大概三年前的版本，基本已经停止维护，除非严重 Bug 外不考虑更新。 2. 这个版本是以

新漏洞总要学习下

CVE-2023-34192 —— Zimbra XSS To RCE

再接再厉

搬运一下外网的一个关于API Security 的思维导图

Github发现一个很棒的工具，通过JDI实现了Tomcat 各个版本 Jetty，Spring，Struts，Jersey等中间价框架的路由扫描

结合Spring Cloud Gateway 漏洞实现了一下Netty内存马

CVE-2022-21724 PostgreSQL JDBC Driver RCE 分析

无需密码任意用户登陆、添加管理员用户、枚举所有用户信息、枚举所有用户空间内所有信息等

CVE-2022-39197 Cobalt Strike < 4.7.1 RCE Analyze

VMware Carbon Black Cloud Workload appliance update addresses incorrect URL handling vulnerability (CVE-2021-21982)

使用Tabby 分析CS RCE CVE-2022-39197

Balckhat 2023 & ISC 2022

自Window10 1803/Server2016及以上打了微软的补丁后，基于OXID 反射NTLM提权已经失效，代表作如JuicyPotato、SweetPotato，本文将从COM开发与调用开始，寻找替代OXID 反射NTLM提权的方法

产品

飒露紫ADR

薮猫科技

106

0

飒露紫 ADR （API Detection and Response）为企业提供专业的 API 安全解决方案。基于高性能流量 采集引擎及多维检测策略，对业务应用流量，进行动态画像，及全场景式流量清洗，充分发现 API 攻击事件、 业务风险及行为异常等安全问题，保障企业应用的每一次 API 调用。

厂商

启明星辰

452

0

启明星辰是国内具备超强实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。

厂商

赛宁网安

51

0

赛宁信息技术有限公司成立于2013年10月，是国内数字安全行业领军者，是集软硬件研发、信息服务、系统集成 于一体的创新型科技公司。

产品

至赛UniNSPM安全策略管理系统

联软科技

118

0

联软科技的至赛UniNSPM安全策略管理系统，是一款集策略集中管理、梳理、可视化与运维于一体的智能化解决方案。它通过策略采集、搜索、优化分析及可视化拓扑等手段，实现网络安全策略的自动化与闭环管理，提高运维效率，确保策略的合规性和安全性。适用于金融、政府、医疗等多个行业，助力构建全面的网络安全防护体系。

厂商

亿赛通

65

0

亿赛通是美创科技旗下的数据安全品牌，专注于提供数据安全解决方案，包括但不限于数据加密、数据防泄露、数据安全服务。

CTF，即Capture The Flag（夺旗赛），是一种流行的信息安全竞赛形式。CTF比赛可以在线进行，也可以在安全会议和活动中现场举行。它们是网络安全领域内技能提升、技术交流和职业发展的重要平台。

产品

雳鉴 IAST

默安科技

81

0

默安科技雳鉴 IAST 专注解决软件安全开发流程中测试阶段或上线阶段的应用安全问题。

产品

安全竞赛

安恒信息

65

0

参加网络安全竞赛已成为国内安全人才选拔，宣传教育的常用方式。 网络安全竞赛以其独特的方式，深刻的教育意义，成为众多备受关注的重要活动。

产品

长亭安全竞赛服务

长亭科技

185

1

网络安全的本质是人与人之间的攻防对抗。人，是真正意义上网络安全的防线终局！