实战某游戏厂商FPS游戏CRC检测的对抗与防护

实战某游戏厂商FPS游戏CRC检测的对抗与防护
一、简介 不得不说,随着时代的发展,游戏产业在近几年的互联网潮流中越来越扮演者重要的地位,与之而来的不仅有网络游戏公司的春天,还有游戏灰色产业的暗流涌动。在游戏产业的发展中,诞生了一大批所谓的“外x挂”开发人员,他们不断的利用游戏的漏洞,在违法牟利的同时,也促进了游戏安全行业的进步。 同时,在游戏安全的对抗中,诞生了以下几种技术以防止游戏作弊的发生: ⒈数据检测:对基础的游戏数据进...

常见未授权访问漏洞总结

常见未授权访问漏洞总结
本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 常见的未授权访问漏洞: Redis 未授权访问漏洞 MongoDB 未授权访问漏洞 Jenkins 未授权访问漏洞 Memcached 未授权访问漏洞 JBOSS 未授权访问漏洞 VNC 未授权访问漏洞 Docker 未授权访问漏洞 ZooKeeper 未授权访问漏洞 Rsync 未授权访问漏洞 Atlassian Crowd 未授权访问漏洞 CouchDB 未授权访问漏洞 Elasticsearch ...

又双叒叕谈注入

又双叒叕谈注入
前言 继续对SQL注入进行一个总结以及学习,本文目录如下: SQL约束攻击 order by后的注入 insert、update、delete后的注入 http分割注入 desc相关问题 万能密码 \N问题 唔,新姿势不多,望各位师傅莫怪 SQL约束攻击 SQL约束攻击并不是一种很新颖的攻击方式,它的成因是因为在处理SQL中的字符串时,字符串末尾的空格字符都会被删除。换句话说,“lengyi”与“lengyi ”几乎是等效的,这在大多数情况下是正确的...

windows远程执行cmd命令的9种方法

windows远程执行cmd命令的9种方法
一、远程执行命令方式及对应端口:  IPC$+AT 445  PSEXEC 445  WMI 135  Winrm 5985(HTTP)&5986(HTTPS) 二、9种远程执行cmd命令的方法: 1.WMI执行命令方式,无回显: wmic /node:192.168.1.158 /user:pt007 /password:admin123 process call create "cmd.exe /c ipconfig>d:\result.txt" 2.使用Hash直接登录Windows(HASH传递) 抓取windows hash值,得到administrator的hash: 598DDCE2660D...

从 XSS Payload 学习浏览器解码

从 XSS Payload 学习浏览器解码
前几天看了浏览器解码看XSS,没有看得很明白,又找了这篇深入理解浏览器解析机制和XSS向量编码,翻译的文章,有些地方翻译的怪怪的,需要看下原文,啃了2天终于搞明白了 原文里给出了几个XSS Payload,也给出了答案和演示地址,有答案但没解析,下面一个个分析 有点像上学的时候,看书看不懂,做题不会做,看答案解析做题就懂了 Basics 1 <a href="%6a%61%76%61%73%63%72%69%70%74:%61%6c%65%72%74%28%...

漏洞分析 – Apache Solr远程代码执行漏洞(CVE-2019-0193)

漏洞分析 – Apache Solr远程代码执行漏洞(CVE-2019-0193)
简介 Apache Solr是一个企业级搜索平台,用Java编写且开源,基于Apache Lucene项目。 主要功能包括: full-text search 全文搜索 hit highlighting faceted search dynamic clustering 动态聚类 document parsing 文档解析 Solr可以像数据库一样被使用: 1.运行服务器,创建collection1 2.从外部获取数据 - 向collection1发送不同类型的数据(例如文本,xml文档,pdf文档等任何格式) 3.存储数据并...

密码保护:泛微e-cology OA远程代码执行分析

密码保护:泛微e-cology OA远程代码执行分析
0x01 通告 2019年9月17日,泛微OA更新了一个安全问题,修复了一个远程代码执行漏洞,参考链接。 0x02 漏洞描述 泛微e-cology OA系统存在java Beanshell接口,且可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制进行命令执行。 0x03 漏洞分析 1.前置知识 从 resin.conf 的配置文件中可以看到resin关于servlet的处理 Copy to clipboard <web-app id="/" root-d...

Springboot之actuator配置不当的漏洞利用

Springboot之actuator配置不当的漏洞利用
前言 Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。Actuator 配置不当导致应用系统监控信息泄露对应用系统及其用户的危害是巨大的,然而关于 springboot 框架下 ...

某xin_waf测试

某xin_waf测试
介绍 xxx网站卫士是xxx旗下为网站提供免费加速和防护的云服务平台。为站长免费提供了网站加速,智能高防DNS,防DDOS,防CC,防黑客和网站永久在线等服务,是百万站长的共同... 前言 本来不认识xxx网站卫士的,那天chabug群,有位师傅发了张图,他去云锁官网测试SQL绕过,结果发现云锁官网用了qianxin-waf 测试 既然来了测试下,先从容易满足的点出发,我就假设有个参数?xss=后面不用考虑闭合之类的,毕竟...

[ Linux VPS ] Debian/Ubuntu/CentOS 网络安装/网络重装/纯净安装 一键脚本

[ Linux VPS ] Debian/Ubuntu/CentOS 网络安装/网络重装/纯净安装 一键脚本
背景: 适用于由GRUB引导的CentOS,Ubuntu,Debian系统.   使用官方发行版去掉模板预装的软件.   同时也可以解决内核版本与软件不兼容的问题。   只要有root权限,还您一个纯净的系统。 相关文章: [ Linux Shell ] 通用无限制在 Linux VPS 上一键全自动 dd 安装 Windows 注意: 全自动安装默认root密码:MoeClub.org 安装完成后请立即更改密码. 能够全自动重装Debian/Ubun...