36 篇博文 含有标签「2023 年」

在上一篇介绍 Web Fuzzer 时：

什么是SCA

上一篇我们说到

背景

MITM，也就是我们常说的中间人攻击。

JavaWeb 回显技术是做漏洞检测和利用绕不过去的。由于反连检测会受网络影响，对于内网或是网络环境差的场景有漏报的风险。所以本文研究下 JavaWeb 的回显。

Nuclei 是一个被广泛使用的漏洞模版程序，它可以发起一系列的请求，并从请求中获取请求的结果是否符合某些条件，也可以从这些请求中提取用户期望的数据。为了增强 Nuclei 的表现力，它在一些版本中新增了 DSL 机制，DSL 本身是一个非常优秀的工程实践，可以极大增强文本内容的计算能力和逻辑表现力；准确的说 Nuclei DSL 并不是图灵完备的 DSL，它仅仅是使用了表达式的计算和逻辑运算特性来达成其运算目的。在这种情况下，Nuclei 通过 DSL 来实现逻辑表达其实还是相对非常直观的。

2023 Aliyun CTF ezbean 是一道 CTF java 反序列化题目。题目的目的是让选手通过一个 java 原生反序列化入口，最终达成 RCE。本文对题目的几种解法做了具体的分析，主要分为预期解法和非预期解法两种思路。通过对 Fastjson 在反序列化的行为分析，从两个方向攻克本题。

JSON（ JavaScript Object Notation ）是一种轻量级的数据交换格式，常用于 Web 应用程序中的数据传输。在 HTTP 数据包信息传递时，JSON 扮演着非常正常的角色，因为它是一种通用的数据格式，可以被多种编程语言和应用程序所支持。

｜MITM 劫持的过程中，HTTP 协议并不是唯一选择。