基础知识在进入JNDI中LDAP学习前，先了解下其中涉及的相关知识JAVA模型序列化对象JNDI ReferencesJNDI References是类javax.naming.Reference的Java对象。它由有关所引用对象的类信息和地址的有...

一、漏洞介绍该漏洞主要是由于Windows TCP/IP堆栈在处理选项类型为25(0x19，递归DNS服务器选项)且长度字段值为偶数的ICMPv6的路由广播数据包时，处理逻辑存在纰漏，导致存在远程代码执行漏洞。...

Java反序列化过程中 RMI JRMP 以及JNDI多种利用方式详解前言Java反序列化漏洞一直都是Java Web漏洞中比较难以理解的点，尤其是碰到了RMI和JNDI种种概念时，就更加的难以理解了。笔者根据网上各...

为什么不用IDA，因为贵。 为什么不用gdb，因为lldb的出现，取代gdb只是迟早的事情，可以说gdb是Depracated。在 Android逆向之ARM64静态分析对app的中的so进行了静态分析，这篇文章介绍两种动态...

简介本文内容分为三部分：域名解析流程分析查询场景分析、实现分析域名查询函数分析多个查询条件结果分析在使用同步IO的情况下，调用gethostbyname()或者gethostbyname_r()就可以根据域名查询到...

全球动态1. 数十名记者iPhone遭到NSO“零次点击”间谍攻击据外媒TechCrunch报道，公民实验室(Citizen Lab)的研究人员表示，他们发现有证据表明，数十名记者的iPhone秘密被间谍软件攻击，据悉，...

比赛时间只有4小时，时间也比较短，也算是比较常规的渗透了，之前趁题目环境还没关，复现了一下工具提供在云桌面上，可以看到主办方提供的工具如下，同时云桌面也支持从选手本机拖拽工具上传至...

SaltStack Shell 注入 (CVE-2020-16846)漏洞复现一、漏洞简介SaltStack是一个分布式运维系统，在互联网场景中被广泛应用，有以下两=个主要功能：•     配置管理系统，能够将远程节点维护...

思考当我们获得一个webshell、或者通过钓鱼等等获得初始访问权后，在进一步渗透之前，我们有必要先收集一下当前机的信息，不单单是当前机的配置信息。下面主要思考以下几个问题：收集那些信息？...

引言在撰写这一系列文章时，笔者也在思考如何避免假大空的更好地呈现这一框架的内容，如何输出对安全行业有用的具有实操价值的内容。而理解并掌握ATT&CK框架的关键就是学会使用ATT&CK这...