Apache Shiro身份验证绕过漏洞(CVE-2021-41303)分析

此漏洞爆发应急于中秋前,因为网上到现在也没看到有师傅分析这个漏洞,所以在中秋后对此漏洞进行了自我理解式的具体分析~

  • 0
  • 2
  • w1nk1
  • 发布于 2021-10-27 17:55:39
  • 阅读 ( 7828 )

Spring MultipartFile 文件上传的潜在威胁

最近挖洞的时候,注意到 **Spring <= 4.1.8** 中提供的 `MultipartFile` 对象潜在的威胁,如果不注意就会造成 **目录穿越漏洞**

  • 1
  • 1
  • JOHNSON
  • 发布于 2021-10-25 19:22:01
  • 阅读 ( 9374 )

记一次工控比赛漏洞挖掘

## 1、前言 “中国制造2025”等国家战略的推出,以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动...

关于bypassuac的探究

# 基础知识 **用户帐户控制**(User Account Control)是Windows Vista(及更高版本操作系统)中一组新的基础结构技术,可以帮助阻止恶意程序(有时也称为“[恶意软件])

  • 1
  • 0
  • szbuffer
  • 发布于 2021-10-25 14:01:08
  • 阅读 ( 5138 )

【PHPGGC】CodeIgniter4反序列化链

目前正在学习 `PHP` 反序列化,因此想顺着反序列化工具 `PHPGGC` 跟一下其中的链,巩固学习。本文是对 `CodeIgniter4` 反序列化的分析,有不对的地方,还请大佬们斧正。

  • 0
  • 0
  • shenwu
  • 发布于 2021-10-22 10:07:29
  • 阅读 ( 5952 )

seeyonOA----htmlofficeservlet文件上传

致远OA这个任意文件上传的洞出来很久了,一找文章基本都是EXP的使用,漏洞分析的文章基本没有,有的看了之后觉得也不是特别到位,还是自己来分析一遍,加深原理理解。。。

  • 2
  • 1
  • joker
  • 发布于 2021-10-21 18:08:52
  • 阅读 ( 12402 )

AMSI对抗绕过小结

分享者才是学习中最大的受益者!

  • 3
  • 1
  • 略略略
  • 发布于 2021-10-20 12:19:17
  • 阅读 ( 5889 )

安卓逆向-反调试与绕过反调试的几种姿势

反调试在代码保护中扮演着很重要的角色,虽然不能完全阻止攻击者,但是还是能加大攻击者的时间成本,一般与加壳结合使用。 反调试可以分为两类:一类是检测,另一类是攻击,前者是去想各种办法去检测程序是否在被调试,如果正在被调试的话做出一些“反”的举措,比如退出等等,后者是采用攻击的方法,就是想办法让调试器不能正常工作或者是让调试器崩溃,从而阻止它,本章主要讲解检测方面的知识。

  • 3
  • 0
  • 嗯嗯呐
  • 发布于 2021-10-19 18:04:09
  • 阅读 ( 8174 )

ThinkPHP-v5.0.24 POP链分析

POP链不能只去看,要尝试动手去跟进分析。如果文章有什么不对的地方请大佬们指教~

  • 0
  • 1
  • w1nk1
  • 发布于 2021-10-14 18:23:09
  • 阅读 ( 5996 )

RMI反序列化及相关工具反制浅析

阅读本文需要具有一定的RMI基础。基础相关可参考 [这篇文章](https://www.oreilly.com/library/view/learning-java/1565927184/ch11s04.html)。 本文将会介绍如下内容: 1. JDK8u232以下...

  • 1
  • 0
  • JOHNSON
  • 发布于 2021-10-13 18:08:56
  • 阅读 ( 6943 )

安卓学习思路方法总结(七)

分享者才是学习中最大的受益者!

  • 1
  • 1
  • 略略略
  • 发布于 2021-10-12 12:09:27
  • 阅读 ( 4644 )

web漏洞-数据篡改安全问题

## 一、基本原理 #### 1.商品的一般购买流程: 选择商品和数量-选择支付方式及配送方式-生成订单编号-订单支付选择-完成支付 (支付宝、微信、银行卡等等) #### 2.常见的参...

  • 0
  • 0
  • ZHUZHU715
  • 发布于 2021-10-11 17:32:55
  • 阅读 ( 4495 )

Yii2.0.42反序列化分析(二)

接着上一篇文章继续分析,四条链子中第二条是最为复杂也是最有意思的,一切是那么的恰到好处哈哈哈

  • 1
  • 1
  • joker
  • 发布于 2021-10-08 16:48:18
  • 阅读 ( 5975 )

php反序列化代码审计学习

最近开始研究反序列化,还是因为要打ctf,不得不学.哈哈也是入门篇,希望对各位表哥有帮助。

  • 1
  • 1
  • soufaker
  • 发布于 2021-10-06 20:27:36
  • 阅读 ( 5117 )

ForgeRock AM远程代码执行漏洞(CVE-2021-35464)复现和分析

# 0x00漏洞描述 ForgeRock AM是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。 [![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-6c549a9e3a8da345a0...

  • 0
  • 1
  • w1nk1
  • 发布于 2021-09-24 11:19:11
  • 阅读 ( 5455 )

RmiTaste源码浅析及实战运用

这两天社区里有一位师傅分享了他对JiraCVE-2020-36239的分析,内容写的很详细。于是我跟着他的教程进行了复现,在对RMI进行探测时,师傅说使用了RmiTast...

  • 0
  • 0
  • 无糖
  • 发布于 2021-09-23 18:03:55
  • 阅读 ( 5435 )

HAProxy请求走私漏洞(CVE-2021-40346)分析

本文主要分析如何通过一个整数溢出来进行http请求走私,并构建环境复现,介绍此漏洞的利用方式与危害。

  • 2
  • 3
  • donky16
  • 发布于 2021-09-22 11:10:02
  • 阅读 ( 10159 )

Yii2.0.42反序列化分析(一)

前不久刚结束的祥云杯考到了当时最新的YII2.0.42反序列化的考点,当时有师傅已经分析构造出了exp,恰巧那篇文章在比赛期间没删,导致那题成了签到题,赛时ctrl c,v,赛后当然还是要自己来分析一波原理。

  • 0
  • 0
  • joker
  • 发布于 2021-09-16 11:48:52
  • 阅读 ( 5767 )

Moodle 拼写检查插件 rce 分析

Moodle 3.10 中默认的旧版拼写检查器插件中存在命令执行漏洞。一系列特制的 HTTP 请求可以导致命令执行。攻击者必须具有管理员权限才能利用此漏洞。

  • 0
  • 0
  • langke
  • 发布于 2021-09-16 11:47:19
  • 阅读 ( 5197 )

CMsuno1.6.2远程代码执行分析复现

# 前言 CMSUno是法国Jacques Malgrange软件开发者的一款用于创建单页响应式网站的工具 下文是基于对EXP的分析得来的,EXP原作者:Fatih Çelik,另外为了方便分析复现,对EXP做了小幅度的修改...

  • 0
  • 0
  • K1v1n
  • 发布于 2021-09-14 11:01:52
  • 阅读 ( 4607 )