什么是Electron？Electron是由Github开发，用HTML，CSS和JavaScript来构建跨平台桌面应用程序的一个开源库。 Electron通过将Chromium和Node.js合并到同一个运行时环境中，并将其打包为Mac，Windows和Linux系统下的应用来实现这一目的。通过Node它提供了通常浏览器所不能提供的能力。一个基础的Electron包含三个文件：package.

事件背景某公司WebServer服务器遭到攻击者入侵，现疑似该服务器的应用系统被上传恶意软件或后门，很多重要文件被破坏，现启动网络安全事件应急响应，入手接管该服务器，发现攻击者放置的恶意软件或后门，分析还原攻击者如何入侵进服务器 复盘拿到服务器发现开放着80端口，是具有web端的，于是初步猜测，攻击者从web端入的手，拿到webshell,从而进一步攻击控制的服务器，于是看一下web日志，发现了a

利用场景在注入时, 存在盲注或者延时, 我们获得需要数据就会频繁请求, 最后导致IP 被Ban,还有就是当我们进行命令执行的时候，目标站点什么也不显示,无法确定,所以用DNSlog外带可以减少请求并且直接回显数据dnslog 数据外带通常用在以下情景： 1.SQL盲注2.无回显的XSS3.无回显的命令执行5.无回显的SSRF5.Blind XXE 原理将需要查询的值和域名拼接起来，向域名发送请求，

概述一次简单的微信小程序漏洞挖掘。在选中商品进行支付的时候，会get一个请求，这个请求主题部分进行了url编码，当我们解码之后就可以看到商品的id号，支付金额等信息，并且没有做安全校验，只需要修改成我们想要修改的金额，直接发送数据包，就可以支付，从而达到“零元购”的危害，考虑到漏洞还没修复，所以做了厚码保护处理 声明：本文所涉及到的漏洞均已提交CNVD，切勿做违法测试! 演示首先进行环境准备，考虑

ldap信息获取首先我们通过扫描，对整个内网环境进行初步的估量，可以知道的是177这台机器开放了web端，其他机器均是一些常规端口，域控机器为10机器，还是个WinServer2012，爆红的这几个永恒之蓝先放一边，虽然不知道是否能成功利用，不过抱有一丝希望来当作我们的底牌做最后的通杀 打开177机器的web端口，可以看到是一个员工查询系统，根据输入的提示，初步判断是用的域环境验证方式，常见的有