NNN4cy 的所有文章
web敏感资产fuzz
NNN4cy
简介 背景 程序最新地址:SRCHunter一款基于python的开源扫描器 有网友反馈信息收集的脚本有bug,debug下 实现核心思想 尽可能的考虑每一种情况 | 处理每一个异常并捕获 | 每个变量初始化 | 随机无序验证 主要…
TP-Link 路由器命令注入漏洞分析
作者:W&P 原文链接:http://sec2hack.com/web/tplink-rce.html 0x01 背景 TP-Link TL-WVR 等都是中国普联(TP-LINK)公司的无线路由器产品。 多款 TP-Lin…
对某Flask应用的简单审计
上次去参加BCTF,第一道AWD题目就是Flask的SSTI漏洞,当时由于不熟悉Flask框架,,所以一开始没意识到这是模板命令注入的漏洞,,直到抓到别人的流量才知道了payload,,回来之后好好学了下Flask框架。 整得来说F…
深度学习PHP webshell查杀引擎demo
传统webshell查杀思路 规则系统 旁路执行 沙箱 基于机器学习/深度学习的webshell查杀引擎,通过专家知识提取特征训练分类器,其结果受样本、特征、结构等多种因素影响。 特征维度: 文本语义(n-gram/TF-IDF/w…
360发现区块链史诗级漏洞 可完全控制虚拟货币交易
EOS超级节点攻击曝光:足以轰瘫整个数字货币体系 近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS…
“谁是英雄,不服来战”,多国极客决战2018世界黑客大师赛
2018WCTF世界黑客大师赛开战在即,亮点抢先看 2018年WCTF世界黑客大师赛即将在7月6日拉开战幕,世界上最顶尖的黑客战队将齐聚北京,展开激烈角逐。今年的WCTF分为线下大师赛、线下新锐赛和线上挑战赛,其中线下大师赛采用“战…
SRCHunter一款基于python的开源扫描器
目前支持的功能 1 2 3 4 5 6 7 8 9 10 11 全自动扫描: python webmain.py -a target.com --> baidu_site && port/di…
某4G无线路由终端分析
作者:Yaseng 转自Yaseng'blog 设备介绍 随着4G网络的大区域覆盖,移动端的网络速度得到大幅提升,此次分析的该款4G无线路由终端,就是通过sim卡连上LTE网络之后,在通过wifi模块将蜂窝网络转为wifi信号共享给…
Tomcat信息泄漏和远程代码执行漏洞分析报告
一. 漏洞概述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,官方评级为高危,在一定…
Espcms 暴力注入
代码分析 看了下espcms的代码,发现了个比较有意思的注入 interface\membermain.php 第 33行 [crayon-6419b1fb4a8c6732816937/] [crayon-6419b1fb4a8cc…