- 博客(16)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 Java反序列化漏洞自动挖掘方法
你说什么最难受,是相爱的人见不了面,还是最爱的人在别人身边。。。---- 网易云热评文章来源:蚂蚁非攻安全实验室 、先知白帽大会一、序列化与反序列化1、定义:序列化是用于将对象转换成二进制串存储,对应着 writeObject,反序列正好相反,将二进制串转换成对象,对应着 Freadobject2、各编程语言都存在:Java:java.io.Serializable接口、fastjson、jackson、gsonPHP:serialize()、 un...
2020-12-31 15:19:47
1489
原创 MFC序列化及反序列化变量
你说什么最难受,是相爱的人见不了面,还是最爱的人在别人身边。。。---- 网易云热评一、作用以二进制流(数据流 )形式,读写硬盘文件,效率高,速度快二、使用方法1、写(序列化)数据定义ar对象,ar将维护一块buff。依次序列化每一个数据到ar维护的buff中。如果buff空间不足,将ar维护buff中的数据存入硬盘文件,同时重置当前指针。当关闭ar对象时,将ar维护的buff中的剩余数据存入硬盘文件。void Store() { C...
2020-12-31 14:49:37
186
原创 MFC文件操作
嘴硬到底是什么概念,大概就是,你问我是怎么想的,其实我眼泪都要掉下来了,但我还是说了句,算了,就这样吧。。。---- 网易云热评一、创建windows桌面向导设为启动项、修改静态MFC、多字节二、创建和打开文件void File() { CFile file; //modeCreate:没有就创建,有直接打开 //modereadwrite:读写方式打开 file.Open("E:/a.txt",CFile::modeCrea..
2020-12-30 13:45:48
333
原创 MFC绘图操作
有些事说出来显得我不大度,但我确实不开心,如果你不懂我,那错的都是我。。。----网易云热评一、新建MFC应用程序二、在菜单栏新加画图项三、类向导添加绘图命令,项目---类向导四、显示aiyou代码void CMFC绘图View::OnHuahua(){ //创建对象,在视图对象里画 CClientDC dc(this); dc.TextOutA(100, 100, "aiyou");//::Te...
2020-12-28 10:30:21
1572
转载 SRC混子的漏洞挖掘之道
一个SRC混子挖SRC的半年经验分享~,基本都是文字阐述,希望能给同样在挖洞的师傅们带来一点新收获。前期信息收集还是那句老话,渗透测试的本质是信息收集,对于没有0day的弱鸡选手来说,挖SRC感觉更像是对企业的资产梳理,我们往往需要花很长的时间去做信息收集,收集与此公司相关的信息,包括企业的分公司,全资子公司,网站域名、手机app,微信小程序,企业专利品牌信息,企业邮箱,电话等等,对于很多万人挖的src来说,你收集到了别人没有收集过的资产,往往离挖到漏洞就不远了。企业相关信息收集 企查查
2020-12-28 10:17:18
3636
原创 MFC多文档视图
你可以因为现任不好而分手,但千万不要认为别人更好,永远有人更好,眼下便是更好。。。---- 网易云热评一、 多文档视图架构程序1、特点: 可以管理多个文档。(可以有多个文档类对象)2、相关类CWinApp / CMDIFrameWnd / CMDIChildWnd / CView / CDocument-文档类CDocManager - 文档管理类CDocTemplate - 文档模板类 CMultiDocTemplate - 多文档模板类3、关系图theAp...
2020-12-24 13:46:22
583
原创 BurpSuite插件 -- FastjsonScan(反序列化检测)
你可以因为现任不好二分手,但千万不要认为别人更好,永远有人更好,眼下便是更好。。。---- 网易云热评一、插件介绍:一个简单的Fastjson反序列化检测burp插件,我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件二、...
2020-12-24 13:40:54
7117
原创 MFC应用程序单文档及类向导的使用
我想不起来第一次看见你的时候,你穿的衣服是什么颜色,是晴天还是雨天,因为我从未想到,那天之后我会这么喜欢你。。。---- 网易云热评一、选择MFC应用程序二、配置新项目三、应用程序类型四、后面都选择默认,直接点击完成就行五、类向导,添加一个双击消息1、项目--类向导2、命令:处理ON_COMMAND消息3、消息:除了COMMAND消息以外的消息4、代码自动添加相应的头文件和源文件void CMFC单文档View::...
2020-12-22 08:52:31
1058
原创 MFC单文档视图架构
其实所有的节日,都不是为了礼物和红包而生,而是提醒我们不要忘记爱与被爱,生活需要仪式感,而你需要的是在乎和关爱。。。---- 网易云热评一、特点只能管理一个文档二、相关类CWinApp / CFrameWnd / CView / CDocument - 文档类CDocManager - 文档管理类CDocTemplate - 文档模板类CSingleDocTemplate - 单文档模板类三、实例1、添加三大框架,动态创建class CMyD...
2020-12-17 19:49:51
590
原创 jexboss工具 -- JBOSS未授权访问漏洞利用
其实所有的节日,都不是为了礼物和红包而生,而是提醒我们不要忘记爱与被爱,生活需要仪式感,而你需要的是在乎和关爱。。。---- 网易云热评小受:Ubuntu20小攻:Kali2020一、搭建该漏洞环境查看上一篇文章:Ubuntu20安装docker并部署相关漏洞环境二、访问http://192.168.77.136:8080/进入后台,点击JMXConsole三、漏洞利用工具1、下载地址:https://github.com/joaomatosf/...
2020-12-17 19:36:49
748
原创 MFC文档类视图接收字符串
他在二楼,你在一楼,如果他没有看你的话,那为什么你们会对视呢?---- 网易云热评一、文档类处理数据1、通过消息处理传递数据,并用UpdateAllViews刷新和文档对象关联的所有视图类对象classCMyDoc :public CDocument { DECLARE_MESSAGE_MAP()public: CString str;afx_msg voidxinjian();};BEGIN_MESSAGE_MAP(CMyDoc, CDocument) ON_C..
2020-12-16 21:57:44
129
原创 Ubuntu20安装docker并部署相关漏洞环境
他在二楼,你在一楼,如果他没有看你的话,那为什么你们会对视呢?---- 网易云热评一、安装docker1、sudo aptinstall docker.io2、查看docker版本,如果显示则说明安装成功docker -v二、安装docker-composesudo apt install docker-compose2、查看版本,确认是否安装成功docker-compose version三、下载靶场1、git cl...
2020-12-16 21:50:25
267
原创 MFC文档视图
女孩可以在社会上遇到比在学校更优秀的男生,而男生在社会上或许再也遇不到比学校里更优秀的女生了。。。---- 网易云热评一、作用文档就是提供用于管理数据模块文档类CDocument,父类CCmdTarget,封装了文档类和视图类关系二、实例1、创建桌面应用程序,导入头文件2、添加类class CMyDoc :public CDocument {};//派生CEditView不用重写Ondrawclass CMyView :public CEditView { DECLA
2020-12-15 21:09:48
267
转载 免杀学习-基础学习
女孩可以在社会上遇到比在学校更优秀的男生,而男生在社会上或许再也遇不到比学校里更优秀的女生了。。。---- 网易云热评一、名词解释单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单。免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus..
2020-12-15 20:46:35
1684
原创 MFC视图窗口动态分割
很多年后的同学聚会,酒过三巡,他对当年暗恋的女同学说:你知道为什么以前每次下课我都找你问问题么?大伙哄堂大笑,等着她脸红,她平静的看着他,抿了抿嘴角:你有没有想过,那时候我为什么总在座位上,不出去玩呢。。。---- 网易云热评一、定义CSplitterWnd类对象二、 在重写CFrameWnd::OnCreateClient虚函数时1、利用CSplitterWnd::Create函数,创建不规则框架窗口。三、实例1、创建桌面应用程序,导入头文件2、添加类,实现动态创...
2020-12-14 20:23:44
739
转载 一文学懂XXE漏洞,从0到1
我很想知道,你上一秒还在回复信息,下一秒就消失几个小时,是你坟头没有信号,还是睡你旁边的压着你手了。。。---- 网易云热评第一阶段(浅谈XML)初识XML一个好的代码基础能帮助你更好理解一类漏洞,所以先学习一下XML的基础知识。XML被设计为传输和存储数据,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具,简单来说XML主要是面向传输的。什么是XML?XML 指可扩展标记语言(EXtensible Markup Language)...
2020-12-11 20:24:33
353
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人