Python

pyhton中,存在几种格式化字符串的方式,然而当我们使用的方式不正确的时候,即格式化的字符串能够被我们控制时,就会导致一些严重的问题,比如获取敏感信息
文章为KCon议题“Python动态代码审计”原作者对议题的介绍与技术分析。
本片文章总结下在python 的环境下的执行系统命令的方式,本文Python版本为2.7,Python3 不是很熟,因为很多好的工具都是基于Python2的,比如Impacket,Empire(flask),所以我也很少用Python3 写东西。
第一篇文章中我们介绍了metasploit神器的基本情况,现在开始我们进入正题,开始学习漏洞分析调试并开发移植的工作,希望通过本系列课程大家都能学会编写/移植MSF的模块。
六一儿童节又到了,众多不愿意长大的白帽子宝宝们都开始捶着健硕的胸肌说不管不管我要过儿童节~~于是贴心的阿兔为大孩子们准备了一份非常有意义的礼物!!
本文总结一些python沙盒在禁用了import,__import__ ,无法导入模块的情况下沙盒绕过的一些方法。
在本文中,我将重点讨论本地恶意软件(也就是不需要Java、Python或.NET等框架就能直接运行的恶意软件),因为这是最常用的类型,如果能够理解了这一类型,那么对其他类型的恶意软件也就变得轻车熟路。
常见的后门大多数是利用Metasploit生成,而目前反病毒产品遇到Metasploit文件签名的程序就会添加特征库作为查杀对象,所以开发出自己的后门程序非常必要。
Python中的Lib/webbrowser.py在启动BROWSER环境变量定义的程序前并未验证字符串,可能会导致参数注入攻击。