ZONE.CI 全球网

漏洞简述
2021年3月15日墨云安全V-Lab实验室向Oracle官方报告了Weblogic Server RCE漏洞,2021年7月21日Oracle发布了

本系列介绍
PortSwigger是信息安全从业者必备工具burpsuite的发行商，作为网络空间安全的领导者，他们为信息安全初学者提供了一个在线的网络安全学院

回顾
前两篇主要说了SQLMAP从main如何一步一步运行到action()函数，然后我对MySQL的版本识别和识别确认进行了具体的分析。其中inject.ge

2021年第一期电子刊的线上抽奖活动刚下过一波礼物雨，本周，安全客的移动礼物车又停靠上新站

前言
菜鸡第一次打线下赛，一天解题一天awd，一共四个pwn，解题赛的pwn2到最后都只有一个师傅搞定（凌霄的师傅tql），本菜鸡只出了两个题，不过还好现场aw

概述
vm的题目在CTF的比赛中是一种很常见的题型，一般的做法都是找到其指令执行过程中自定义的指令的解释程序的一些漏洞（如溢出，offset_by_null等）

最近在分析JDK7u21的Gadgets，有两个不解之处，阅读前辈们的文章发
现并未提起：
1.为什么有的POC入口是LinkedHashSet，有的是Hash

事件概述
据日本《东京新闻》22日报道，日本政府官员透露，东京奥运会专用购票网站出现数据泄露，被盗取的登陆账号用户名和密码流传网络。报道援引日本政府官员的话称，

近日，移动互联网系统与应用安全国家工程实验室（以下简称：国家工程实验室）、中国信息通信研究院安全研究所（以下简称：信通院）、北京智游网安科技有限公司（爱加密）三

该漏洞作者Andy Nguyen (theflow@) ，writeup已经公开。
简单概述
主要是在xt_compat_target_from_user()中

PHP 等弱类型语言支持通过隐式转换它们的类型和值来松散比较（Loose Comparison）两个操作数。这种语言特征被广泛使用，但也可能构成严重的安全威胁。

本系列介绍
PortSwigger是信息安全从业者必备工具burpsuite的发行商，作为网络空间安全的领导者，他们为信息安全初学者提供了一个在线的网络安全学院

引言
在CTF中反序列化类型的题目还是比较常见的，之前有学习过简单的反序列化，以及简单pop链的构造。这次学习内容为php内置的原生类的反序列化以及一点进阶知识

前文再续，书接上一回《Windows内核提权漏洞CVE-2018-8120的分析·上》一、Bitmap GDI技术
BitmapGDI技术，是指通过Bitmap

在今年的hsctf(“High School Capture the Flag”)里遇到了一个比较少见的nds(任天堂DS)逆向题目,侥幸拿下一血,因为感觉网上

要写这篇文章的原因，主要是因为自己想在内核这块稍微多了解一点，再多了解一点，谈到内核提权漏洞，“dirty cow”是入门内核漏洞绕不开的一个点，这里我怀着敬畏

本系列介绍
PortSwigger是信息安全从业者必备工具burpsuite的发行商，作为网络空间安全的领导者，他们为信息安全初学者提供了一个在线的网络安全学院

学习的开源项目是：
https://github.com/cfalta/adsec有些地方是直接Google 翻译过来的。
注意：本人域渗透新手，很多问题都不懂

报名地址：https://xiangyuncup.ichunqiu.com活动简介
为深入贯彻落实习近平总书记关于网络强国的重要思想，提升我省网络安全防护意识和

“交友”需谨慎，损失价很高！2021年第一季度，在所有诈骗申请中，交友诈骗占比最高达23.5%；从涉案总金额来看，交友类诈骗总金额最高，达188.9万元，占比3

前言
针对当下反编译技术的逐步发展，加固技术也在与之对抗中发展，本文旨在对最简单的加固方式和加固的原理做一个介绍，并且对代码做一个复现。加固原理图解：如上图，对

逆向进入prepare时会进行一个权限的检查
倒推回去'''
*(_QWORD *)s ^ '06210147' |
*(_QWORD *)&s[8] ^ '

前言
目的：学习语义分析工具的编写原理从而实现自己编写语义分析工具。
读完本文只需要记得phpparser基于zend’s lexical scanner，ze

github地址 https://github.com/s0md3v/XSStrike拿一个xss测试一下
我们直接执行测试下效果
$ python xsstr

Kaseya收到了一个能够免费让7月2号REvil勒索软件攻击的受害者恢复他们文件的通用解密器。
7月2号，REvil勒索软件利用Kaseya VSA远程管理应