Fastjson反序列化漏洞利用

前言

最近在公司git翻代码时,在pom.xml看到一个项目fastjson版本比较低。于是测了一下反序列化漏洞,记录几个坑

漏洞测试

测试poc

Read More



插件化集成扫描器开源

结合了市面上流行的一些扫描器思路,写了个比较完整的扫描规则。支持ip,domain,网段,批量检测。 及漏洞扫描支持。

  • web目录
  • 未授权访问
  • 弱口令

Read More



OKEX区块链解密游戏完整writeup

前言

题干信息

图片中共两条有用信息:

1、一组字母“OKBLOCKCHAIN”

2、12组等式数字

下面是这1个ETH的地址交易记录,如果没被转走,说明还没被破解。Goodluck~
题目信息

Read More



AMR智能合约转账溢出漏洞分析复现

颠覆互联网的区块链来了,黑客也随之降临。
利益之下,黑客肆掠。

研究了一些区块链安全,有几个挺有意思的漏洞。

基础

Solidity 是一门面向合约的、为实现智能合约而创建的高级编程语言。这门语言受到了 C++,Python 和 Javascript 语言的影响,设计的目的是能在以太坊虚拟机(EVM)上运行。

Read More



安全开源项目wiki平台

平常总会遇见一些好的项目,但是到用的时候却想不起来了。

所以趁着休息的时候写了个安全开源项目相关的平台

  • 前端:layui
  • 后台:python

Read More



为什么我不关心比特币

最近有点浮躁~

对这个东西不感兴趣,有几点:

  • 美元是真正的世界货币,其实通过paypal、用信用卡付款,在任何一个国家支付美元、全球购物都是非常方便的。 只要比特币没有跟美元直接挂钩,形成官方汇率,形成良性监督,这个东西风险都非常高。比如法律风险、比特币自身的安全漏洞。

Read More



新博客,新开始

从学生时代就开始养成写东西的习惯,从第三方博客到独立域名博客。

之前用了几年的域名itwzw.cn域名密码也忘了。也不打算用了

所以换个com的域名,所以以后就用beysec.com这个域名了~

博客系统基于hexo + git + 独立服务器来持续集成部署。

Read More



MySQL在insert-update-delete的注入Tricks

看到P牛的一篇文章,提到几个trick,其中在MySQL5.7 INSERT注入方法。
然后找了一些资料学习了一波。

先来看个简单的例子

1
2
3
4
5
6
7
MariaDB [sqlitest]> select 'bey0nd' = 0 ;
+--------------+
| 'bey0nd' = 0 |
+--------------+
| 1 |
+--------------+
1 row in set, 1 warning (0.00 sec)

Read More



sqlmap源码分析与学习

sqlmap是安全人员必备的注入神器,没有之一。注入手法,注入思路以及注入语句构造的都是相当厉害。

sqlmap作为集检测与利用一体的注入工具,在注入判断上的速度难免会慢一些。虽然提供了sqlmapapi的形式供DIY调用,但效果差强人意。
所以一直以来都在写着能够快速定位到注入点而非注入利用的工具。最重要的就是快、误报低。

Read More



我们都是骄傲的人

此文仅作者可见

Read More