本期关键字：如何在Google Web Toolkit环境下Getshell、WebShell免杀之JSP、固件攻击研究综述、Java“后反序列化漏洞”利用思路、全球高级持续性威胁（APT）2019年报告、安全响应、Java安全相关的漏洞和技术demo等。2020/02/17-2020/02/23

安全资讯

[新闻] RSAC 2020精彩内容前瞻

https://www.anquanke.com/post/id/198877

安全技术

[Web安全] RocketMQ的漏洞从发现到自动化利用的实践过程

https://mp.weixin.qq.com/s/A10bkRBTb4RqzgNjc8VtnA

[Web安全] 如何在Google Web Toolkit环境下Getshell

https://mp.weixin.qq.com/s/QgVWZfa3FQkZk1GqQncGmQ

[论文] CrystalNet：超逼真地仿真大型生产网络

https://mp.weixin.qq.com/s/wI6amI2-Urj7HJSw6sMoJQ

[杂志] SecWiki周刊（第311期)

https://www.sec-wiki.com/weekly/311

[Web安全] RedTeamer: 红方人员作战执行手册

https://github.com/klionsec/RedTeamer

[Web安全] CrystalNet（ONE）网络仿真技术实现解读

https://mp.weixin.qq.com/s/dS8f3hqZIUtoUTaI-YZZUQ

[恶意分析] WebShell免杀之JSP

https://mp.weixin.qq.com/s/YJtfQTvowVr2azqBWGla1Q

[设备安全] 如何查看域用户登录的计算机

https://mp.weixin.qq.com/s/dQ0CiKiiKWFNUbbN2ZSabA

[恶意分析] IoT-23 In Depth: CTU-IoT-Malware-Capture-3-1

https://www.stratosphereips.org/blog/2020/2/14/iot-23-in-depth-ctu-iot-malware-capture-3-1

[设备安全] 固件攻击研究综述

https://mp.weixin.qq.com/s/Qjvirq2sVO9nPBauBRGS4Q

[工具] AWVS 13 破解版下载地址

https://www.bacde.me/post/Acunetix-Web-Vulnerability-Scanner-13-cracked/

[Web安全] CNVD-2020-10487(CVE-2020-1938)tomcat ajp 文件读取漏洞

https://blog.csdn.net/sun1318578251/article/details/104433346

[工具] PandaSniper: Linux C2 框架demo

https://github.com/QAX-A-Team/PandaSniper?from=timeline

[Web安全] Java“后反序列化漏洞”利用思路

http://rui0.cn/archives/1338

[Web安全] Backdooring IIS Using Native Modules

https://www.mdsec.co.uk/2020/02/iis-raid-backdooring-iis-using-native-modules/

[Web安全] Mysql报错注入之函数分析

https://mp.weixin.qq.com/s/8PG_4LgSg34WOu_pHkpFgw

[恶意分析] 全球高级持续性威胁（APT）2019年报告

https://ti.qianxin.com/uploads/2020/02/13/cb78386a082f465f259b37dae5df4884.pdf

[Web安全] 红队行动常用载荷新手入门

https://www.anquanke.com/post/id/198540

[Web安全] 红队实战攻防技术分享：Linux后门总结-各类隐藏技能

https://mp.weixin.qq.com/s/B5cam9QN8eDHFuaFjBD34Q

[Web安全] 谈一谈Linux与suid提权

https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html

[Web安全] 安全响应

https://mp.weixin.qq.com/s/dKAPxZOqG5jF9dbA8K5d4w

[Web安全] 改造冰蝎对抗waf&OpenRASP计划-初探

https://forum.90sec.com/t/topic/796

[数据挖掘] TextClassify: 基于预训练模型的文本分类模板

https://github.com/linhaow/TextClassify

[漏洞分析] Java安全相关的漏洞和技术demo

https://github.com/threedr3am/learnjavabug

[观点] 谈谈2020年RSA创新沙盒10强及其对中国创业者的价值

https://mp.weixin.qq.com/s/z0xsJGSMWbQy60_QmArmQA

[观点] 创新沙盒，罕见领域分布的背后 - RSAC 2020 (1)

https://mp.weixin.qq.com/s/ExGnLLzd1wBDksGFfimULw

[漏洞分析] Exploit Spring Boot Actuator 之 Spring Cloud Env 学习笔记

https://b1ngz.github.io/exploit-spring-boot-actuator-spring-cloud-env-note/

[移动安全] ApkAnalyser: 一键提取安卓应用中可能存在的敏感信息

https://github.com/TheKingOfDuck/ApkAnalyser

[数据挖掘] 微信协议

https://huangzhike.github.io/2019/01/15/%E7%AC%94%E8%AE%B0-%E5%BE%AE%E4%BF%A1%E5%8D%8F%E8%AE%AE/

[取证分析] 轻量级隐写分析模型

https://www.anquanke.com/post/id/197661

[Web安全] 钓鱼配合smb重放攻击

https://xz.aliyun.com/t/7234

[漏洞分析] zeratool：基于 angr 的CTF pwn 自动化利用工具介绍

https://xz.aliyun.com/t/7224

[漏洞分析] QQ安全中心 - 动态口令的生成算法

https://github.com/HyperSine/forensic-qqtoken

[漏洞分析] 本人在2019年对一些NodeJS问题的研究

https://xz.aliyun.com/t/7237

[编程技术] Golang实现的x86下的Meterpreter reverse tcp

https://github.com/insightglacier/go_meterpreter

分享到：

打赏 生成海报