此文章所有内容均收集于互联网，不针对某家安全厂商，仅作技术交流，请勿用于非法攻击和渗透。 360天擎SQL注入漏洞 描述 fofa title="360新天擎" POC & 利用 /api/dp/rptsvcsyncpoint?ccid=1 360天擎信息泄露 描述 /api/dbstat/gettablessize POC & 利用 Alibaba 阿里巴巴Nacos认证绕过 描述 fofa：title="Nacos" POC & EXP D-Link DCS系列监控账号密码信息泄露 描述…

随着5G网络的大力拓进，各个行业都在为5G的全面普及做准备，5G网络给我们带来的优势无庸置疑，除了下载速度快之外，低延迟能够实现比如手机云游戏，AI实时运算等功能，于是很多小伙伴都在摩拳擦掌，准备新购5G手机以替换自己的4G手机，不过在这之前，还是建议大家先对5G网络的SA与NSA组网了解一下，毕竟我们不打无准备之仗嘛。一、5G网络架构 移动通信网络，由基站（接入网）、核心网、承载网共同组成。 NSA和SA所谓的“组网”，就是指基站和核心网的搭配方式。5G网络架构，首先是分成了SA和NSA，它们的部署是不相同的。 …

0x00 漏洞概述 XStream是一个Java对象和XML相互转换的工具，在将JavaBean序列化、或将XML文件反序列化时，它不需要其它辅助类和映射文件，这使得XML序列化不再繁琐。 XStream的使用也比较广泛，像Jenkins使用的就是XStream，实战演练的时候该漏洞可以发挥很好的攻击效果，如何识别和判断应用系统是否使用和引入了XStream呢？跟jackson和fastjson等反序列化组件一样，看post提交的内容，是以XML形式提交的。 2021年03月15日，XStream官方发布…

更换使用5G套餐后需不需要更换手机卡？ 答案是：强烈建议更换，但不更换也是可以使用5G网络和5G套餐的，对于上网速度来说是没有任何影响的。 那为什么还要建议更换呢？因为5G SIM卡比4G SIM卡更安全，更符合5G网络生态。 #背景 《中国电信5G SA安全增强SIM卡白皮书》 2020年5月13日，中国电信发布的一份白皮书指出，现有的4G卡不能满足5G网络的信息与安全要求。《中国电信5G SA安全增强SIM卡白皮书》这一白皮书建议，是基于5G全新网络安全的考虑 在该白皮书中，中国电信有明确的说明，他说： “现阶…

Canvas简介 Immunity CANVAS是Immunity公司的一款商业级漏洞利用和渗透测试工具，包含了480多个以上的漏洞利用，该工具并不开源，其中文版介绍如下： “Canvas是ImmunitySec出品的一款安全漏洞检测工具。它包含几百个以上的漏洞利用。对于渗透测试人员来说，Canvas是比较专业的安全漏洞利用工具。Canvas 也常被用于对IDS和IPS的检测能力的测试。Canvas目前已经使用超过700个的漏洞利用，在兼容性设计也比较好，可以使用其它团队研发的漏洞利用工具，例如使用Gleg, Lt…

简介： 我们经常在分析移动APP客户端应用时，需要去搜索某些关键的类和方法，或者某些对渗透有帮助的关键词，比如怎么找一个接口类的实现类等等，其主要作用是将内存中 Java 类或对象的结构数据进行可视化，方便我们根据关键字批量搜索查找和追踪。同类工具： objection + Wallbreaker 功能： 根据黑白名单批量追踪类的所有方法 hook("javax.crypto.Cipher", "$"); 在命中方法后打印出该类或对象的所有域值、参数、调用栈和返回值    极简的文本保存日志机制、易于搜索关键参数 …

Mac OS：10.14.5 安卓OS：4.4.4 IDA版本：7.0 将db导入到手机中 cd dbgsrv 选择android_x86_server 注意：因为我们是用的模拟器，一定要选择android_x86_server，否则会出现 ./android_server: not executable: magic 7F45 命令如下： adb push ./android_server64 /data/local/tmp adb shell cd /data/local/tmp/ chmod 777 andr…