PyBot/tech_passage.md at 865c477066102b64a25764cc04fdaec55009ed48

2025-01-06 17:06:15 +08:00

来源：subject 上传时间：2025-01-06 10:00:00 描述：本文介绍了作者在数据安全比赛中遇到的一个开源框架的代码审计过程。作者使用了多种工具，特别是“通义灵码”，帮助发现了多个高危漏洞，包括路径遍历、文件上传、目录删除、SQL注入和XSS漏洞。文章详细描述了如何利用这些工具进行漏洞定位和验证，并分享了使用“通义灵码”的心得和体验。最后，作者总结了AI在代码审计中的优势和不足，并展望了未来的发展方向。

文章：Windows进程

来源：subject 上传时间：2025-01-06 09:00:02 描述：进程这个观念我们现在都已经很熟悉了，进程是一个程序的运行实例，进程我们可以看做是操作系统为应用程序提供的资源容器，比如内存空间，文件句柄，设备以及网络连接等等。

文章：结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践

文章：Windows进程

文章：CVE-2024-50379|条件竞争Tomcat RCE POC（首发）

作者：TtTeam 上传时间：2025-01-06 14:41:19 简介：半通杀|Tomcat RCE！无敌！

文章：【渗透利器】比proxifier更好用的代理神器，可轻松配置代理--sunnynet

作者：网安鲲为帝 上传时间：2025-01-06 14:27:36 简介：None

文章：实战攻防中的信息收集

作者：LHACK安全 上传时间：2025-01-06 14:00:57 简介：None

文章：CVE-2024-43452：针对 Windows 特权提升漏洞的 PoC 漏洞发布

作者：Ots安全 上传时间：2025-01-06 13:53:08 简介：None

文章：CVE-2024-47575：FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令

作者：Ots安全 上传时间：2025-01-06 13:44:09 简介：None

文章：ThievingFox——从密码管理器和 Windows 实用程序远程检索凭据

作者：Ots安全 上传时间：2025-01-06 13:44:09 简介：ThievingFox 是一组后漏洞利用工具，用于在渗透测试和类似活动中从工作站和服务器收集凭据。它的工作原理是让目标应用程序加载恶意库，该库执行内存挂钩以收集凭据。

文章：【成功复现】爱数AnyShare SMTP_GetConfig 信息泄露漏洞

作者：弥天安全实验室 上传时间：2025-01-06 12:18:51 简介：【成功复现】爱数AnyShare SMTP_GetConfig 信息泄露漏洞

文章：工具集：PotatoTool【1.3更新】集合解密、分析、扫描、溯源、免杀、提权等功能的网络安全综合工具

作者：风铃Sec 上传时间：2025-01-06 12:17:41 简介：None

文章：JAVA XXE 学习总结

作者：掌控安全EDU 上传时间：2025-01-06 12:02:15 简介：None

文章：从js到高危垂直越权漏洞挖掘

作者：白帽子左一 上传时间：2025-01-06 12:01:05 简介：None

文章：Java安全小记-FastJson反序列化

作者：土拨鼠的安全屋 上传时间：2025-01-06 12:00:23 简介：None

文章：浅析CTF中PWN题堆类型的ORW技术

作者：SAINTSEC 上传时间：2025-01-06 11:52:08 简介：浅析ctf中pwn题堆类型的orw

文章：某华命令执行Rce原理分析

作者：进击安全 上传时间：2025-01-06 11:45:51 简介：None

文章：[溯源]HuntBack(反击狩猎)，用于攻防演练中，防守方对恶意ip进行web指纹扫描与识别

作者：W啥都学 上传时间：2025-01-06 11:41:44 简介：None

文章：漏洞通告 | Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞

作者：微步在线研究响应中心 上传时间：2025-01-06 10:50:43 简介：立即查看漏洞详情

文章：【介质取证】“隐藏”在日志文件里的行为痕迹

作者：平航科技 上传时间：2025-01-06 10:01:02 简介：None

文章：刷脸登录银行 App 现他人信息，银行回应称“网络抖动带来的极小概率事件”|Windows 曝9.8分漏洞，已有PoC及利用情况

作者：黑白之道 上传时间：2025-01-06 09:55:05 简介：None

文章：针对 PostgreSQL 数据库的攻击研究

作者：信安之路 上传时间：2025-01-06 09:37:29 简介：None

文章：【漏洞复现】快云服务器助手GetDetail接口文件任意文件读取漏洞

作者：网络安全007 上传时间：2025-01-06 09:01:03 简介：None

文章：【Nday漏洞分析】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)

作者：神农Sec 上传时间：2025-01-06 09:00:39 简介：None

文章：vulnhub之unknowndevice2的实践

作者：云计算和网络安全技术实践 上传时间：2025-01-06 08:46:59 简介：None

文章：内网渗透之ADCS权限维持

作者：七芒星实验室 上传时间：2025-01-06 08:46:33 简介：文章前言本篇文章主要介绍如何通过证书服务来实现权限维持的目的基本原理在微软的文档里有一段话\x26quot;当使用PKCA时

文章：企业安全建设之蜜罐搭建与使用

作者：七芒星实验室 上传时间：2025-01-06 08:46:33 简介：基本介绍HFish是一款基于Golang开发的跨平台多功能主动诱导型开源国产蜜罐框架系统，它从内网失陷检测、

文章：W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞

作者：菜鸟学渗透 上传时间：2025-01-06 08:30:31 简介：W\x26amp;Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞

文章：【实用工具】Windows应急响应上机排查工具

作者：如棠安全 上传时间：2025-01-06 08:15:40 简介：在上机排查过程中，通过“事件查看器”逐个查看系统日志太过繁琐。这样的话，我们可以通过此工具一键对系统日志进行分类核查，有效提高上机研判、处置能力。

文章：免杀系列 - 无法让管理员找到你的木马进程

作者：SecretTeam安全团队 上传时间：2025-01-06 08:08:29 简介：None

文章：【神兵利器】GRS内网穿透工具

作者：菜鸟学信安 上传时间：2025-01-06 08:03:20 简介：None

文章：记一次某道CMS审计过程

作者：李白你好 上传时间：2025-01-06 08:01:49 简介：None

文章：Hacking Scanner 一键渗透扫描器

作者：夜组安全 上传时间：2025-01-06 08:01:01 简介：None

文章：X-Ways Forensics 包含报告表/标签的使用

作者：网络安全与取证研究 上传时间：2025-01-06 08:00:57 简介：关于包含报告表/标签功能，笔者也是在一次偶然之中领悟到了其强大之处，因为之前一直都认为报告表功能并无大用。现在，标签列是我分析页面中的常驻列，并且往往处在较为靠前的位置。笔者希望能通过本文介绍包含报告表/标签的强大之处和高效用法。

文章：漏洞预警 | WordPress Plugin Tutor SQL注入漏洞

作者：浅安安全 上传时间：2025-01-06 08:00:30 简介：WordPress插件Tutor LMS的/wp-admin/admin-ajax.php接口存在SQL注入漏洞，未经身份验证的攻击者可以通过该漏洞获取数据库敏感信息。

文章：漏洞预警 | 友数聚CPAS审计管理系统SQL注入和任意文件读取漏洞

作者：浅安安全 上传时间：2025-01-06 08:00:30 简介：友数聚CPAS审计管理系统存在SQL注入和任意文件读取漏洞，未经身份验证的攻击者可以通过该漏洞获取敏感信息，建议相关用户及时更新。

文章：工具 | Hfish

作者：浅安安全 上传时间：2025-01-06 08:00:30 简介：HFish是一款社区型免费蜜罐。

文章：Ember Bear APT 攻击模拟

作者：安全狗的自我修养 上传时间：2025-01-06 07:09:53 简介：这是对（Ember Bear） APT 组织针对乌克兰能源组织的攻击的模拟，攻击活动于 2021 年 4 月活跃，攻击链开

文章：浅谈密码相关原理及代码实现

作者：船山信安 上传时间：2025-01-06 00:12:23 简介：None

文章：安卓逆向2025 -- Frida学习之环境搭建

作者：逆向有你 上传时间：2025-01-06 00:00:29 简介：None

文章：Windows 11 BitLocker被绕过，来提取卷加密密钥

作者：河南等级保护测评 上传时间：2025-01-06 00:00:20 简介：None

文章：黑客利用 DoS 漏洞禁用 Palo Alto Networks 防火墙

作者：犀牛安全 上传时间：2025-01-06 00:00:00 简介：None

文章：记两次内网入侵溯源

作者：Hacking黑白红 上传时间：2025-01-05 23:26:58 简介：None

文章：研究人员发布针对 Windows LDAP 漏洞的 PoC 漏洞利用程序

作者：网络研究观 上传时间：2025-01-05 21:27:48 简介：None

文章：【漏洞复现】内训宝 SCORM 模块存在任意文件上传漏洞

作者：网络安全007 上传时间：2025-01-05 16:26:41 简介：内训宝 SCORM 模块存在任意文件上传漏洞|附复现过程！

文章：【渗透 Tips】解决Edge的IE模式下无法抓包情况

作者：阿呆攻防 上传时间：2025-01-05 16:07:40 简介：None

文章：JS逆向系列17-Hook_cookie v0.2脚本原理解析

作者：Spade sec 上传时间：2025-01-05 15:47:51 简介：None

文章：2024 数证杯流量分析WP

作者：船山信安 上传时间：2025-01-05 10:45:23 简介：None

文章：针对潜在危险的 Windows LDAP 漏洞的利用代码已发布

作者：河南等级保护测评 上传时间：2025-01-05 00:12:58 简介：None

文章：安卓逆向 -- 某TV抓包和jce响应解析

作者：逆向有你 上传时间：2025-01-05 00:01:26 简介：None

文章：网络抓包神器：Tcpdump实用技巧与案例解析

作者：马哥网络安全 上传时间：2025-01-04 17:01:47 简介：None

文章：国外红队大佬内核+系统级后门维持骚姿势【附代码】

作者：教父爱分享 上传时间：2025-01-05 23:19:42 简介：None

文章：Windows注册表 IFEO注入

作者：暴暴的皮卡丘 上传时间：2025-01-05 22:44:13 简介：None

文章：国密测评抓取APP的TCP握手报文

作者：安全初心 上传时间：2025-01-05 22:32:13 简介：None

文章：Windows 曝9.8分漏洞，已有PoC及利用情况

作者：商密君 上传时间：2025-01-05 19:15:38 简介：None

文章：通过模拟功能实现提权（Bugcrowd）

作者：玲珑安全 上传时间：2025-01-05 18:55:21 简介：None

文章：通过模拟功能实现提权（Bugcrowd）

作者：芳华绝代安全团队 上传时间：2025-01-05 18:53:58 简介：None

文章：（滥用） ClickOnce 实现可信任意代码执行

作者：securitainment 上传时间：2025-01-04 23:04:05 简介：None

文章：Steam假入库深入解析

作者：冲鸭安全 上传时间：2025-01-04 10:00:36 简介：None

文章：漏洞预警 | Apache MINA反序列化漏洞

作者：浅安安全 上传时间：2025-01-04 08:03:54 简介：Apache MINA存在反序列化漏洞，攻击者可通过向受影响的应用程序发送特制的恶意序列化数据，利用不安全的反序列化过程触发该漏洞，从而可能导致远程代码执行。

文章：漏洞预警 | 卓软计量业务管理平台任意文件读取漏洞

作者：浅安安全 上传时间：2025-01-04 08:03:54 简介：卓软计量业务管理平台的/HuameiMeasure/image.ashx接口存在任意文件读取漏洞，未经身份验证的攻击者可以通过该漏洞读取服务器任意文件，从而获取服务器大量敏感信息。

文章：工具 | Metasploit

作者：浅安安全 上传时间：2025-01-04 08:03:54 简介：Metasploit Framework是一款开源安全漏洞检测工具。

文章：无文件恶意软件 – 检测、响应和预防

作者：河南等级保护测评 上传时间：2025-01-04 07:05:19 简介：None

文章：【神兵利器】红队浏览器凭据提取工具

作者：七芒星实验室 上传时间：2025-01-04 07:00:24 简介：None

文章：安卓app抓包总结

作者：船山信安 上传时间：2025-01-04 02:01:04 简介：None

文章：攻防靶场(31)：日志投毒与文件包含漏洞 Solstice

作者：OneMoreThink 上传时间：2025-01-04 01:17:57 简介：基于 ATTCK 的 OSCP PG Play 靶场通关攻略

文章：国外红队大佬内核+系统级后门维持骚姿势【附代码】

作者：教父爱分享 上传时间：2025-01-05 23:19:42 简介：None

文章：Windows注册表 IFEO注入

作者：暴暴的皮卡丘 上传时间：2025-01-05 22:44:13 简介：None

文章：国密测评抓取APP的TCP握手报文

作者：安全初心 上传时间：2025-01-05 22:32:13 简介：None

文章：Windows 曝9.8分漏洞，已有PoC及利用情况

作者：商密君 上传时间：2025-01-05 19:15:38 简介：None

文章：通过模拟功能实现提权（Bugcrowd）

作者：玲珑安全 上传时间：2025-01-05 18:55:21 简介：None

文章：通过模拟功能实现提权（Bugcrowd）

作者：芳华绝代安全团队 上传时间：2025-01-05 18:53:58 简介：None

文章：（滥用） ClickOnce 实现可信任意代码执行

作者：securitainment 上传时间：2025-01-04 23:04:05 简介：None

文章：Steam假入库深入解析

作者：冲鸭安全 上传时间：2025-01-04 10:00:36 简介：None

文章：漏洞预警 | Apache MINA反序列化漏洞

文章：漏洞预警 | 卓软计量业务管理平台任意文件读取漏洞

文章：工具 | Metasploit

作者：浅安安全 上传时间：2025-01-04 08:03:54 简介：Metasploit Framework是一款开源安全漏洞检测工具。

文章：无文件恶意软件 – 检测、响应和预防

作者：河南等级保护测评 上传时间：2025-01-04 07:05:19 简介：None

文章：【神兵利器】红队浏览器凭据提取工具

作者：七芒星实验室 上传时间：2025-01-04 07:00:24 简介：None

文章：安卓app抓包总结

作者：船山信安 上传时间：2025-01-04 02:01:04 简介：None

文章：Windows注册表 IFEO注入

作者：暴暴的皮卡丘 上传时间：2025-01-05 22:44:13 简介：None

文章：国密测评抓取APP的TCP握手报文

作者：安全初心 上传时间：2025-01-05 22:32:13 简介：None

文章：Windows 曝9.8分漏洞，已有PoC及利用情况

作者：商密君 上传时间：2025-01-05 19:15:38 简介：None

文章：通过模拟功能实现提权（Bugcrowd）

作者：玲珑安全 上传时间：2025-01-05 18:55:21 简介：None

文章：通过模拟功能实现提权（Bugcrowd）

作者：芳华绝代安全团队 上传时间：2025-01-05 18:53:58 简介：None

文章：（滥用） ClickOnce 实现可信任意代码执行

作者：securitainment 上传时间：2025-01-04 23:04:05 简介：None

文章：Steam假入库深入解析

作者：冲鸭安全 上传时间：2025-01-04 10:00:36 简介：None

文章：漏洞预警 | Apache MINA反序列化漏洞

文章：漏洞预警 | 卓软计量业务管理平台任意文件读取漏洞

文章：工具 | Metasploit

作者：浅安安全 上传时间：2025-01-04 08:03:54 简介：Metasploit Framework是一款开源安全漏洞检测工具。

文章：无文件恶意软件 – 检测、响应和预防

作者：河南等级保护测评 上传时间：2025-01-04 07:05:19 简介：None

文章：【神兵利器】红队浏览器凭据提取工具

作者：七芒星实验室 上传时间：2025-01-04 07:00:24 简介：None

文章：安卓app抓包总结

作者：船山信安 上传时间：2025-01-04 02:01:04 简介：None

文章：Windows注册表 IFEO注入

作者：暴暴的皮卡丘 上传时间：2025-01-05 22:44:13 简介：None

文章：国密测评抓取APP的TCP握手报文

作者：安全初心 上传时间：2025-01-05 22:32:13 简介：None

文章：通过模拟功能实现提权（Bugcrowd）

作者：玲珑安全 上传时间：2025-01-05 18:55:21 简介：None

文章：通过模拟功能实现提权（Bugcrowd）

作者：芳华绝代安全团队 上传时间：2025-01-05 18:53:58 简介：None

文章：（滥用） ClickOnce 实现可信任意代码执行

作者：securitainment 上传时间：2025-01-04 23:04:05 简介：None

文章：Steam假入库深入解析

作者：冲鸭安全 上传时间：2025-01-04 10:00:36 简介：None

文章：工具 | Metasploit

作者：浅安安全 上传时间：2025-01-04 08:03:54 简介：Metasploit Framework是一款开源安全漏洞检测工具。

文章：无文件恶意软件 – 检测、响应和预防

作者：河南等级保护测评 上传时间：2025-01-04 07:05:19 简介：None

文章：【神兵利器】红队浏览器凭据提取工具

作者：七芒星实验室 上传时间：2025-01-04 07:00:24 简介：None

文章：安卓app抓包总结

作者：船山信安 上传时间：2025-01-04 02:01:04 简介：None

文章：双击劫持：攻击者可以悄无声息地窃取用户账户

作者：网络研究观 上传时间：2025-01-04 00:30:41 简介：两次鼠标点击之间的时间足以让黑客交换网页并诱骗受害者意外授权访问或转账。

文章：新的“DoubleClickjacking”攻击针对 OAuth 进行帐户接管

作者：网络研究观 上传时间：2025-01-04 00:30:41 简介：None

文章：Windows 曝9.8分漏洞，已有PoC及利用情况

作者：商密君 上传时间：2025-01-05 19:15:38 简介：None

文章：漏洞预警 | Apache MINA反序列化漏洞

文章：漏洞预警 | 卓软计量业务管理平台任意文件读取漏洞

文章：攻防靶场(31)：日志投毒与文件包含漏洞 Solstice

作者：OneMoreThink 上传时间：2025-01-04 01:17:57 简介：基于 ATTCK 的 OSCP PG Play 靶场通关攻略

54 KiB Raw Blame History Unescape Escape

文章：结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践

文章：Windows进程

文章：结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践

文章：Windows进程

文章：CVE-2024-50379|条件竞争Tomcat RCE POC（首发）

文章：【渗透利器】比proxifier更好用的代理神器，可轻松配置代理--sunnynet

文章：实战攻防中的信息收集

文章：CVE-2024-43452：针对 Windows 特权提升漏洞的 PoC 漏洞发布

文章：CVE-2024-47575：FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令

文章：ThievingFox——从密码管理器和 Windows 实用程序远程检索凭据

文章：【成功复现】爱数AnyShare SMTP_GetConfig 信息泄露漏洞

文章：工具集：PotatoTool【1.3更新】集合解密、分析、扫描、溯源、免杀、提权等功能的网络安全综合工具

文章：JAVA XXE 学习总结

文章：从js到高危垂直越权漏洞挖掘

文章：Java安全小记-FastJson反序列化

文章：浅析CTF中PWN题堆类型的ORW技术

文章：某华命令执行Rce原理分析

文章：[溯源]HuntBack(反击狩猎)，用于攻防演练中，防守方对恶意ip进行web指纹扫描与识别

文章：漏洞通告 | Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞

文章：【介质取证】“隐藏”在日志文件里的行为痕迹

文章：刷脸登录银行 App 现他人信息，银行回应称“网络抖动带来的极小概率事件”|Windows 曝9.8分漏洞，已有PoC及利用情况

文章：针对 PostgreSQL 数据库的攻击研究

文章：【漏洞复现】快云服务器助手GetDetail接口文件任意文件读取漏洞

文章：【Nday漏洞分析】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)

文章：vulnhub之unknowndevice2的实践

文章：内网渗透之ADCS权限维持

文章：企业安全建设之蜜罐搭建与使用

文章：W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞

文章：【实用工具】Windows应急响应上机排查工具

文章：免杀系列 - 无法让管理员找到你的木马进程

文章：【神兵利器】GRS内网穿透工具

文章：记一次某道CMS审计过程

文章：Hacking Scanner 一键渗透扫描器

文章：X-Ways Forensics 包含报告表/标签的使用

文章：漏洞预警 | WordPress Plugin Tutor SQL注入漏洞

文章：漏洞预警 | 友数聚CPAS审计管理系统SQL注入和任意文件读取漏洞

文章：工具 | Hfish

文章：Ember Bear APT 攻击模拟

文章：浅谈密码相关原理及代码实现

文章：安卓逆向2025 -- Frida学习之环境搭建

文章：Windows 11 BitLocker被绕过，来提取卷加密密钥

文章：黑客利用 DoS 漏洞禁用 Palo Alto Networks 防火墙

文章：记两次内网入侵溯源

文章：研究人员发布针对 Windows LDAP 漏洞的 PoC 漏洞利用程序

文章：【漏洞复现】内训宝 SCORM 模块存在任意文件上传漏洞

文章：【渗透 Tips】解决Edge的IE模式下无法抓包情况

文章：JS逆向系列17-Hook_cookie v0.2脚本原理解析

文章：2024 数证杯流量分析WP

文章：针对潜在危险的 Windows LDAP 漏洞的利用代码已发布

文章：安卓逆向 -- 某TV抓包和jce响应解析

文章：网络抓包神器：Tcpdump实用技巧与案例解析

文章：国外红队大佬内核+系统级后门维持骚姿势【附代码】

文章：Windows注册表 IFEO注入

文章：国密测评抓取APP的TCP握手报文

文章：Windows 曝9.8分漏洞，已有PoC及利用情况

文章：通过模拟功能实现提权（Bugcrowd）

文章：通过模拟功能实现提权（Bugcrowd）

文章：（滥用） ClickOnce 实现可信任意代码执行

文章：Steam假入库深入解析

文章：漏洞预警 | Apache MINA反序列化漏洞

文章：漏洞预警 | 卓软计量业务管理平台任意文件读取漏洞

文章：工具 | Metasploit

文章：警报升级！超 15,000 台 Four-Faith 路由器正遭黑客攻击，利用默认密码即可入侵！

文章：【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了

文章：使用 Azure 上的 Dapr 保护微服务：实现端到端安全性

文章：无文件恶意软件 – 检测、响应和预防

文章：【神兵利器】红队浏览器凭据提取工具

文章：安卓app抓包总结

文章：攻防靶场(31)：日志投毒与文件包含漏洞 Solstice

文章：国外红队大佬内核+系统级后门维持骚姿势【附代码】

文章：Windows注册表 IFEO注入

文章：国密测评抓取APP的TCP握手报文

文章：Windows 曝9.8分漏洞，已有PoC及利用情况

文章：通过模拟功能实现提权（Bugcrowd）

文章：通过模拟功能实现提权（Bugcrowd）

文章：（滥用） ClickOnce 实现可信任意代码执行

文章：Steam假入库深入解析

文章：漏洞预警 | Apache MINA反序列化漏洞

文章：漏洞预警 | 卓软计量业务管理平台任意文件读取漏洞

54 KiB

Raw Blame History