Y4er的博客
归档 专栏 分类 标签 笔记 朋友 作品
Y4er的博客
归档专栏分类标签笔记朋友作品
Home avatar

GitHub

AS_REQ & AS_REP引出的安全问题

Y4er avatarY4er  发布于 2020-11-12 收录于  类别 渗透测试 和 系列 Windows协议

上文讲了AS_REQ & AS_REP的流程和各个字段的解释。本文将讲述其中产生的问题和如何利用。

阅读全文
 Kerberos

Kerberos协议之AS_REQ & AS_REP

Y4er avatarY4er  发布于 2020-11-12 收录于  类别 渗透测试 和 系列 Windows协议

Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。

阅读全文
 Kerberos

Windows网络认证NTLM&Net-NTLM Hash

Y4er avatarY4er  发布于 2020-11-12 收录于  类别 渗透测试 和 系列 Windows协议

继续学

阅读全文
 NTLM

Windows本地认证NTLM Hash&LM Hash

Y4er avatarY4er  发布于 2020-11-12 收录于  类别 渗透测试 和 系列 Windows协议

Windows本地认证

阅读全文
 NTLM

Slack Golang C2

Y4er avatarY4er  发布于 2020-10-03 收录于  类别 渗透测试 和 系列 Series

最近在学golang,恰好看到demon分析的golang slack c2,便想着自己也来写一写。

阅读全文
 Go, C2, Slack

Java Agent实现反序列化注入内存shell

Y4er avatarY4er  发布于 2020-09-30 收录于  类别 代码审计 和 系列 Series

本文将要讲解的是通过Java agent拦截修改关键类的字节码,最大程度实现一套代码通用注入内存shell。

阅读全文
 Shell, 反序列化, Java, Agent, 内存马

极限环境Certutil加Powershell配合Burp快速落地文件

Y4er avatarY4er  发布于 2020-09-28 收录于  类别 渗透测试 和 系列 Series

碰到一些极限环境,比如站库分离只出dns的时候,想上线cs的马,但是文件迟迟不能落地,相信很多人都会想到certutil等工具。

阅读全文
 Certutil, Powershell

Spring Cloud SnakeYAML 一键注册cmd shell和reGeorg

Y4er avatarY4er  发布于 2020-09-24 收录于  类别 渗透测试 和 系列 Series

使用Spring Cloud SnakeYAML的反序列化漏洞一键注册cmd shell和reGeorg

阅读全文
 Java, 内存shell, 反序列化

Cobalt Strike Powershell 过卡巴免杀上线

Y4er avatarY4er  发布于 2020-08-27 收录于  类别 渗透测试 和 系列 Series

没什么技术含量

阅读全文
 Powershell

Weblogic CVE-2020-14645

Y4er avatarY4er  发布于 2020-07-20 收录于  类别 代码审计 和 系列 Weblogic

UniversalExtractor任意调用get、is方法导致JNDI注入。

阅读全文
 Java, CVE

每日一问:记一次命令注入RCE

Y4er avatarY4er  发布于 2020-07-10 收录于  类别 渗透测试 和 系列 Series

在qq群里提出了一个每日一问的活动,目的是拓展渗透实战思路,问题不限于渗透、审计、红队、逆向。这篇文章是昨天晚上临时由实战环境改的一个CTF题。

阅读全文
 渗透测试, Ctf

渗透经验分享之文件操作漏洞拓展

Y4er avatarY4er  发布于 2020-06-23 收录于  类别 渗透测试 和 系列 Series

上文分享了注入相关的东西,注入也可以对文件进行操作,本文是对文件操作漏洞的拓展。

阅读全文
 渗透测试, Getshell

渗透经验分享之SQL注入思路拓展

Y4er avatarY4er  发布于 2020-06-19 收录于  类别 渗透测试 和 系列 Series

分享一些东西

阅读全文
 渗透, SQL注入

fastjson 1.2.68 bypass autotype

Y4er avatarY4er  发布于 2020-06-16 收录于  类别 代码审计 和 系列 Fastjson

基于期望类的特性

阅读全文
 Java, 反序列化

Ysoserial JDK7u21

Y4er avatarY4er  发布于 2020-06-10 收录于  类别 代码审计 和 系列 Series

0^anything=anything

阅读全文
 Ysoserial, 反序列化, Java
  • 1
  • …
  • 6
  • 7
  • 8
  • 9
  • 10
  • …
  • 15
由 Hugo 强力驱动 | 托管在 Cloudflare Pages 上 | 主题 - DoIt
2018 - 2025 Y4er | CC BY-NC 4.0