代码审计-youdiancms最新版getshell漏洞
泛微e-mobile6.6前台RCE漏洞分析与复现
U8cloud base64 SQL注入漏洞分析,真的是file/upload/base64导致的SQL注入吗?
CVE-2023-44974 emlog CMS任意文件上传漏洞分析
再学学Fastjson呗
本篇文章对锐捷前台无条件RCE漏洞进行细致分析和代码审计,带你一步步进入最高权限的天堂,感受CNVD满分漏洞的无穷魅力
小白的代码审计入门!如果有误 望大佬们帮忙指正:D
通过帆软channel反序列化历史漏洞,学习二次反序列化绕过黑名单限制进行利用
某天刷手机看到微信公众号上发布的漏洞通告 "Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)" 就联想到了WebLogic之前也存在过的JNDI注入漏洞,分别是CVE-2023-21839 和 CVE-2023-21931 。漏洞通告中说的是CVE-2023-21839的补丁绕过,于是就想看看,学习学习,也回顾一下前面两个漏洞
GitLab任意用户密码重置漏洞代码级分析(CVE-2023-7028)
前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。
最近有关公众号发布几个国产中间件漏洞预警,本着学习心态对其进行分析研究
Apache ActiveMQ jolokia 远程代码执行漏洞利用与分析(CVE-2022-41678)
Unserialize函数的使用很少见,而Session反序列化可控条件又比较苛刻。这次就和大家分享最后一种Phar伪协议反序列化漏洞案例作为学习,祝师傅们以后审计时多多出洞。
Euler Finance闪电贷攻击分析复现
Damn Vulnerable DeFi Challenges | 区块链安全挑战
最近看有公众号公布了某凌OA的0day,本着学习的心态看看是怎么个事
ERC2771 Multicall任意地址欺骗攻击
此篇文章针对的emlog轻量级博客及CMS建站系统存在反序列化字符逃逸+sql注入漏洞,进一步了解学习php反序列化的字符逃逸问题。
I DOC VIEW是一个在线的文档查看器,其中的/html/2word接口因为处理不当,导致可以远程读取任意文件,通过这个接口导致服务器下载恶意的JSP进行解析,从而RCE。