浅聊CVE-2024-22120:Zabbix低权限SQL注入至RCE+权限绕过

Zabbix低权限SQL注入至RCE+权限绕过,可惜没找到关于传webshell的好方法,如有大神告知,感激万分!

  • 3
  • 0
  • W01fh4cker
  • 发布于 2024-05-22 14:07:57
  • 阅读 ( 24735 )

jsoniter参数走私浅析

json-iterator(通常简称为 Jsoniter)是一个高性能的 JSON 解析库,它为 Java 和 Go 语言提供了简单而高效的 API 来进行 JSON 的序列化和反序列化操作。浅析其中潜在的参数走私场景。

  • 0
  • 0
  • tkswifty
  • 发布于 2024-05-22 10:00:00
  • 阅读 ( 13250 )

CVE-2024-32002 Git 远程代码执行漏洞分析

Git RCE 漏洞分析:从蛛丝马迹的漏洞分析到RCE

  • 7
  • 5
  • 10cks
  • 发布于 2024-05-20 20:11:28
  • 阅读 ( 16713 )

普元Primeton EOS Platform JMX 反序列化漏洞分析及复现

普元Primeton EOS Platform(以下简称普元EOS)在节前被爆出存在反序列化漏洞。遂在此分析该漏洞成因,如有疏漏或错误,欢迎大佬指正包涵。

  • 0
  • 1
  • 不羡仙
  • 发布于 2024-05-20 09:00:01
  • 阅读 ( 13714 )

AJ-Report代码执行漏洞分析

转载个人公众号

  • 1
  • 1
  • webqs
  • 发布于 2024-05-15 10:00:02
  • 阅读 ( 15098 )

某积分商城任意金额支付漏洞分析利用及思考

大部分开发人员在开发时都会有一种思维惯性,传参处处有校验==处处都可信,但这个等式并非恒成立

  • 5
  • 3
  • K1v1n
  • 发布于 2024-05-10 10:00:00
  • 阅读 ( 17807 )

"凌武杯" D^3CTF 2024 wp

"凌武杯" D^3CTF 2024 wp

  • 2
  • 1
  • mof
  • 发布于 2024-05-07 11:18:54
  • 阅读 ( 18739 )

SSRF突破对file协议的限制

一个在java中ssrf绕过的小trick!

  • 0
  • 2
  • Yu9
  • 发布于 2024-05-07 10:00:00
  • 阅读 ( 18706 )

kkFileView任意文件上传

kkFileView任意文件上传

  • 0
  • 1
  • 买橘子
  • 发布于 2024-05-07 09:00:02
  • 阅读 ( 19068 )

用友NC runStateServlet注入漏洞分析

用友NC runStateServlet注入漏洞分析

  • 0
  • 1
  • webqs
  • 发布于 2024-05-06 10:00:00
  • 阅读 ( 15189 )

CVE-2024-22262(CVE-2024-22259绕过)浅析

Spring官方近期披露了CVE-2024-22262,在受影响版本中,由于此前CVE-2024-22243、CVE-2024-22259的修复黑名单校验不充分,攻击者可能构造在协议、主机名、用户名、端口部分包含\\的url,使得通过UriComponentsBuilder类解析得到错误的值,绕过业务应用中的主机地址验证。

  • 1
  • 0
  • tkswifty
  • 发布于 2024-04-30 10:00:01
  • 阅读 ( 17424 )

花指令全面总结

由易到难全面剖析花指令

浅析XXE注入导致RCE

简单复现一下XXE注入导致RCE 并分析一下其中逻辑

  • 0
  • 0
  • ZAC安全
  • 发布于 2024-04-26 10:03:48
  • 阅读 ( 17366 )

浅谈gaul/s3proxy authorization绕过

https://github.com/gaul/s3proxy是一个开源项目,它实现了S3 API,允许你通过这个API访问多种不同的存储,目前已经支持Azure Blob,Google Cloud Storage和OpenStack Swift等主流的云存储服务。浅谈其authorization绕过过程。

  • 0
  • 0
  • tkswifty
  • 发布于 2024-04-26 09:00:00
  • 阅读 ( 15680 )

CSZcms任意解压漏洞RCE

一次简单的代码审计分析

  • 1
  • 0
  • ZAC安全
  • 发布于 2024-04-25 10:07:06
  • 阅读 ( 15753 )

记一次参数走私导致的权限绕过

在实际业务中,通常会对请求参数进行解析并进行鉴权处理,来避免类似平行越权的风险。若解析请求参数时与Controller的解析方式存在差异,则可能可以绕过现有的安全措施,

  • 1
  • 2
  • tkswifty
  • 发布于 2024-04-23 09:00:02
  • 阅读 ( 16710 )

代码审计 - PHP - 再谈西湖论剑PHPEMS

CTF真有趣

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-22 10:00:02
  • 阅读 ( 16255 )

Java安全 - C3P0链原理分析

转载

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-18 10:00:01
  • 阅读 ( 16305 )

高JDK的JNDI绕过之复现某比赛0解题

转载

  • 2
  • 1
  • Zacky
  • 发布于 2024-04-18 09:30:01
  • 阅读 ( 16305 )

Java安全 - Mysql-JDBC反序列化

Mysql-JDBC反序列化

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-17 10:00:02
  • 阅读 ( 17364 )