【Web实战】哥斯拉全语言流量分析
哥斯拉是继菜刀、蚁剑、冰蝎之后的又一个webshell利器,这里就不过多介绍了。 GitHub地址:https://github.com/BeichenDream/Godzilla 很多一线师傅不太了解其中的加解密手法,无法进行解密,这篇文章介绍了解密的方式方法,主要补全了网上缺少的ASP流量分析、PHP解密脚本和C#解密脚本。
- 3
- 3
- JKL
- 发布于 2023-11-09 10:00:01
- 阅读 ( 16037 )
JKL
苏苏的五彩棒
markin
joker
金山终端安全系统V9.0 SQL注入漏洞
近期,长亭科技监测到猎鹰安全(原金山安全)官方发布了新版本修复了一处SQL注入漏洞。xpc可以检测该漏洞,就想着获取一下poc,并且分析一下漏洞原理。
- 1
- 0
- zuoyou
- 发布于 2023-10-25 09:00:02
- 阅读 ( 15637 )
【Web实战】浅谈Reactor Netty HTTP Server目录穿越漏洞(CVE-2023-34062)
Spring官方近期披露了CVE-2023-34062,在 Reactor Netty HTTP Server 中,1.1.x 版本在 1.1.13 之前以及 1.0.x 版本在 1.0.39 之前存在安全漏洞。在特定情况下,攻击者可以通过发送一个特定的 URL 的请求来触发目录遍历攻击。
- 0
- 0
- tkswifty
- 发布于 2023-11-27 09:00:00
- 阅读 ( 15440 )
tkswifty
I DOC VIEW前台RCE分析
I DOC VIEW是一个在线的文档查看器,其中的/html/2word接口因为处理不当,导致可以远程读取任意文件,通过这个接口导致服务器下载恶意的JSP进行解析,从而RCE。
- 1
- 1
- SpringKill
- 发布于 2023-12-07 09:00:01
- 阅读 ( 15411 )
某云的反序列漏洞及绕过思路分析
最近看到Kingdee星空反序列化漏洞各种各样的接口,本文将分析其漏洞原理及绕过思路,入门学习.NET程序的调试过程。
- 1
- 4
- 中铁13层打工人
- 发布于 2023-12-28 10:00:01
- 阅读 ( 15093 )
中铁13层打工人
记一次过滤jsp的文件上传
在某次对某单位进行渗透测试时,遇到一个上传点,网站是java写的,但是上传jsp和jspx时会被waf拦截,但由于上传路径可控,经过不懈努力最终成果拿到shell,于是写这篇文章记录一下
- 5
- 6
- 中铁13层打工人
- 发布于 2023-11-03 09:00:00
- 阅读 ( 15088 )
【Web实战】XXE漏洞
XXE漏洞指的是XML外部实体注入(XML External Entity Injection)漏洞,它是一种常见的安全漏洞类型,可以用来攻击基于XML的应用程序。当应用程序接受XML输入时,攻击者可以插入带有外部实体引用的恶意XML数据,从而导致应用程序执行未经授权的操作,比如访问本地文件系统、执行远程代码等。攻击者可以通过利用XXE漏洞来获取敏感信息、控制服务器,或者执行其他恶意操作。
- 4
- 2
- 苏苏的五彩棒
- 发布于 2023-11-24 09:00:02
- 阅读 ( 15066 )
帆软报表 V8.0 组合拳漏洞分析及复现
简要介绍帆软FineReport 8.0版本中的组合拳漏洞原理和复现过程,并提供在日常流量侧分析时应注意的一些要点。
- 0
- 0
- Rodentyoo
- 发布于 2023-11-06 09:00:01
- 阅读 ( 15040 )
由php反序列化字符串逃逸造成的SQL注入漏洞分析
此篇文章针对的emlog轻量级博客及CMS建站系统存在反序列化字符逃逸+sql注入漏洞,进一步了解学习php反序列化的字符逃逸问题。
- 1
- 1
- 中铁13层打工人
- 发布于 2023-12-11 10:09:51
- 阅读 ( 14668 )
某cms漏洞挖掘分析
某cms漏洞挖掘分析,该系统代码简单,因此注入漏洞发现过程还是挺顺利的,就在index.php的文件中,结果绕过waf稍微有些曲折,特此记录一下学习过程。
- 3
- 4
- 中铁13层打工人
- 发布于 2023-09-25 17:56:20
- 阅读 ( 14603 )
微软产品里的‘小惊喜’:两个有趣漏洞浅析
最近,微软更新了一批安全补丁。其中CVE-2023-36563(Microsoft WordPad Information Disclosure Vulnerability)和CVE-2023-24955(Microsoft SharePoint Server Remote Code Execution Vulner...
- 0
- 0
- 苏苏的五彩棒
- 发布于 2023-12-27 10:00:02
- 阅读 ( 14483 )
( CVE-2023-50164)Apache Struts2 S2-066 文件上传漏洞分析
Struts2 官方披露 CVE-2023-50164 Apache Struts 文件上传漏洞,攻击者可利用该漏洞污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码。
- 2
- 2
- jweny
- 发布于 2023-12-20 09:00:02
- 阅读 ( 14370 )
jweny
某次实战代码审计出sql注入漏洞记录
某次项目中朋友拿到了一份web的源码让帮忙看下,通过审计发现多处注入,挑选一处记录一下
- 1
- 3
- 中铁13层打工人
- 发布于 2023-12-19 10:08:12
- 阅读 ( 14342 )
【Web实战】JetBrains TeamCity 任意代码执行漏洞分析(CVE-2023-42793)
TeamCity 是一款持续集成和软件交付 (CI/CD) 解决方案。该漏洞是由于对服务器 API 的访问控制不足造成的,允许未经身份验证的攻击者访问管理面板。利用该漏洞,攻击者可以通过网络访问 TeamCity 服务器,获取项目源代码,并通过在项目构建任务执行代理上执行任意代码,对基础架构发起进一步攻击。该漏洞可能会给供应商带来不可接受的网络安全事件。
- 0
- 0
- zuoyou
- 发布于 2023-11-09 09:00:01
- 阅读 ( 14310 )
Xunruicms反序列化漏洞利用链挖掘过程
这个漏洞点是某个群友发出来的,于是就想着自己挖掘一下利用链,学习一下,然后就有了这篇文章
- 1
- 0
- Stree
- 发布于 2024-03-13 09:44:03
- 阅读 ( 14305 )
Stree