摘要：千辛万苦拿到的 webshell 居然无法执行系统命令，怀疑服务端 disable_functions 禁用了命令执行函数，通过环境变量 LD_PRELOAD 劫持系统函数，却又发现目标根本没安装 sendmail，无法执行...

0x00 前言 北京亿中邮信息技术有限公司（亿邮）是一款专业的邮件系统软件及整体解决方案提供商。 亿邮电子邮件系统远程命令执行漏洞，攻击者利用该漏洞可在未授权的情况实现远程命令执行，获取...

导语：如果想要查清系统遭到黑客入侵的原因或漏洞，通过日志查找是一种很好的方法。 如果想要查清系统遭到黑客入侵的原因或漏洞，通过日志查找是一种很好的方法。日志文件是由服务器提供的非常...

介绍: 敏感信息泄露漏洞是不是有点鸡肋？跟我了解一下吧！0x00 前言某日，甲方爸爸在群里扔过来一个txt。里面有三个域名，20个IP地址。让我看看有没有什么问题，我一看这不讲武德啊，我怎么看？...

前言Yapi 由 YMFE开源，旨在为开发、产品、测试人员提供更优雅的接口管理服务，可以帮助开发者轻松创建、发布、维护API。安全人员在Yapi官方Github仓库提交了漏洞issues，地址为: https://githu...

2021年6月17日，在我完成这篇文章时，内容交付网络（CDN）提供商Akamai又一次在全球范围内宕机。其原因似乎与其分布式拒绝服务（DDoS）缓解措施的某个“路由表”容量不足有关。虽然技术分析结果...

客户关键词国内TOP5财险公司业务范围覆盖国内31个省（自治区、直辖市）营业网点超过2600个连续四年入选“中国企业500强”员工和设备接入庞杂近50000名员工、大量外包人员与合作伙伴多条保险产品...

前言在渗透测试中，有时会遇到拿到webshell后无法执行命令的情况，为了能成功提权，需要我们绕过disabled_functiondisable_function简介disable_functions是php.ini中的一个设置选项，可以用来...

关于bbscopebbscope是一款功能强大的大规模信息收集工具，该工具由sw33tLie开发，可以帮助广大研究人员在HackerOne、Bugcrowd和Intigriti上实现大规模信息收集。在参与平时的漏洞奖励计划过程中...

邮件钓鱼作为一种攻击成本小，技术门槛低，却往往能收获奇效的攻击方式，常为攻击者所喜闻乐见。有攻亦须防，安全宣贯长篇大论的说教，不如一次实际的钓鱼演练效果来的立竿见影。1.  场景设计...