目录一、wazuh配置 二、wazuh案例复现一、wazuh配置1.1进入官网下载OVA启动软件VirtualMachine(OVA)-Installationalternatives(wazuh.com) 1.2点击启动部署，傻瓜式操作1.3通过账号：wazuh-user，密码：wazuh进入wazuh1.4将桥接模式更改为仅nat模式 1.5更改配置之后输入重新启动命令 servicenetworkrestart查看自身ipipa1.6配置已好，本地开启小皮Apache直接访问1.7有时会因为网络问题出现如下问题，我们采用重启wazuh即可wazuh重启：systemctlrestartw

[CTF]-ISCC2022复现前言Misc2022冬奥会单板小将苏翊鸣隐秘的信息降维打击藏在星空中的诗-1藏在星空里的诗-2真相只有一个套中套666(擂台)Web冬奥会Pop2022这是一道代码审计题Easy-SQL让我康康findme爱国敬业好青年-2总结前言一年一度的ISCC终于结束，题目质量很高，高到做不出来讲道理，擂台题是真的为了出题而出题，真的卷不动了以下是自己整理的wp，有详有略，感谢师傅们借鉴思路Misc2022冬奥会图片CRC值报错修改高度得到unicode编码所以rar的密码是灯笼得到flag.jpg用txt打开就是flag单板小将苏翊鸣png图片改高度扫码得到unicod

版本为最新版本3.5.0发布日期：2023-03-08Poc地址：https://github.com/J0hnWalker/jeecg-boot-sqli复现过程漏洞原理很简单，但是由于个人配置的原因环境搭建很慢，下图是搭建完成后的后台主页。当然前端搭不搭建无所谓漏洞产生的地方来自于JeecgBoot后端的集成积木报表功能来看漏洞产生直接原因，这个函数需要用post请求，请求的内容是json@PostMapping({"/qurestSql"})publicResult?>b(@RequestBodyJSONObjectvar1,HttpServletRequestvar2){Stringv

目录FixMatch:SimplifyingSemi-SupervisedLearningwithConsistencyandConfidence介绍FixMatch具体步骤DebiasedSelf-TrainingforSemi-SupervisedLearning引入问题分析方法设计论文标题：FixMatch:SimplifyingSemi-SupervisedLearningwithConsistencyandConfidence论文作者：KihyukSohn,DavidBerthelot,Chun-LiangLi,ZizhaoZhang,NicholasCarlini,EkinD.Cu

Part1前言 CORS跨域资源共享漏洞与JSONP劫持漏洞类似，都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格，诱骗受害者访问攻击者制作好的恶意网站，从而跨域获取受害者的敏感数据，包括转账记录、交易记录、个人身份证号信息、订单信息等等。近几年在很多的渗透测试报告中，CORS跨域资源共享漏洞越来越多了。有的朋友实在挖不出漏洞，偶尔就会写上一个CORS跨域资源共享漏洞出一份报告，但是细究起来以下几个问题，却都模棱两可，搞不明白。1. 什么是CORS漏洞？2. 哪些情况下的CORS漏洞是高危漏洞？哪些情况下CORS漏洞是没有危害的？3

前言此文章仅用于技术交流，严禁用于对外发起恶意攻击！！！一、产品简介亿赛通电子文档安全管理系统（简称：CDG）是一款电子文档安全加密软件，该系统利用驱动层透明加密技术，通过对电子文档的加密保护，防止内部员工泄密和外部人员非法窃取企业核心重要数据资产，对电子文档进行全生命周期防护，系统具有透明加密、主动加密、智能加密等多种加密方式，用户可根据部门涉密程度的不同（如核心部门和普通部门），部署力度轻重不一的梯度式文档加密防护，实现技术、管理、审计进行有机的结合，在内部构建起立体化的整体信息防泄露体系，使得成本、效率和安全三者达到平衡，实现电子文档的数据安全。二、漏洞描述亿赛通电子文档安全管理系统Up

论文标题：MFAN:Multi-modalFeature-enhancedAttentionNetworksforRumorDetection论文作者：JiaqiZheng,XiZhang,SanchuanGuo,QuanWang,WenyuZang,YongdongZhang论文来源：IJCAI2022代码来源：Code介绍一系列基于深度神经网络融合文本和视觉特征以产生多模态后表示的多媒体谣言检测器被提出，其表现出比单独使用文本数据更好的性能。然而，这些研究的一个共同局限性是它们没有同时考虑图形社会背景，这已被证明有利于提高检测性能。源帖子的社会语境通常包括转发用户和相应的评论。基于这些实体

漏洞原理本文所有使用的脚本和工具都会在文末给出链接，希望读者可以耐心看到最后。啥是shiro?Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API，可以快速轻松地对应用程序进行保护。shiro550反序列化原理cve编号：CVE-2016-4437在Apacheshiro的框架中，执行身份验证时提供了一个记住密码的功能（RememberMe），如果用户登录时勾选了这个选项。用户的请求数据包中将会在cookie字段多出一段数据，这一段数据包含了用户的身份信息，且是经过加密的。加密的过程是：用户信息=>序列化=>AES加

0x01 阅读须知天擎攻防实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！0x02漏洞描述（一） 泛微e-cology泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞

CVE-2023-28432MiniO信息泄露漏洞MiniO是一个基于ApacheLicensev2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口，非常适合于存储大容量非结构化的数据，例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等在集群部署的Minio中，未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息（MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD），可能导致攻击者以管理员权限登录Minio，分布式部署的所有用户都会受到影响，单机用户没有影响Fofa：title="MinIOBrowser"||banner="MinIO