一种另类的shiro检测方式
shiro 这玩意去年出现在大众视野里,众多师傅大喊hvv没有shiro不会玩,实际上追溯这个洞最早开始时候是2016年的事情了,也就是说因为某些攻防演练,这个洞火了起来,当然我也聊一点不一样东西,因为其他东西师傅们都玩出花了。
- 1
- 0
- l1nk3r
- 发布于 2021-04-15 17:14:15
- 阅读 ( 4253 )
l1nk3r
php7cms文件包含漏洞
前台未授权文件包含 利用SQL注入报错插入payload到日志文件 包含该日志文件得到webshell
- 1
- 0
- 中铁13层打工人
- 发布于 2021-04-13 18:28:21
- 阅读 ( 5445 )
中铁13层打工人
NAT Splitstreamming v1 浅析
研究员Samy Kamkar公开了一种针对NAT网关的攻击技术:NAT Splitstreamming,通过这种技术,可以实现从外网突破NAT网关,直接访问NAT内网的IP
- 0
- 0
- ManchurianClassmate
- 发布于 2021-04-12 18:31:44
- 阅读 ( 5289 )
泛微e-mobile6.6前台RCE漏洞分析与复现
泛微e-mobile6.6前台RCE漏洞分析与复现
- 4
- 2
- 中铁13层打工人
- 发布于 2021-04-11 18:39:03
- 阅读 ( 33015 )
亿邮电子邮件系统远程命令执行漏洞
近日,补天漏洞响应平台监测到互联网公开亿邮eyoumail的一个远程命令执行漏洞部分细节,细节中包含漏洞相关路径。经分析,该漏洞只存在于管理口,如限制管理界面则无法利用。在能够访问管理口的情况下,攻击者能够前台直接进行命令拼接,执行命令。该漏洞可导致远程命令执行,控制服务器。补天漏洞响应平台建议联系厂商获取最新补丁或使用奇安信设备更新获得防御。
- 0
- 0
- 带头大哥
- 发布于 2021-04-09 17:44:42
- 阅读 ( 5450 )
Yii反序列化漏洞复现到新利用链发现
我是刚入门不久的小白, 如果有什么地方不对,请师父们及时指正. 本文参考奶权师傅的 Yii复现文章: 受益匪浅,自己调试的时候发现了一个新的利用链,于是来分享下
- 0
- 0
- 带头大哥
- 发布于 2021-04-07 22:01:32
- 阅读 ( 6372 )
代码审计之某通用商城系统getshell过程
最近在整理自己代码审计的文档时,发现自己以前审了不少小cms的1day, 现在的话基本没啥用,所以打算慢慢发出来,分享一下自己在学习各种语言审计时的一些小思路, 希望能够帮助和我一样的萌新能够领略代码审计的魅力。
- 0
- 1
- 带头大哥
- 发布于 2021-04-07 20:13:19
- 阅读 ( 4771 )
Liferay+Portal+模板注入RCE分析
GHSL小组成员Alvaro Munoz在2020年3月报告了Liferay Portal中的模板注入漏洞,通过其描述可以得知具有编辑模板权限的用户可以实现通过该漏洞实现远程代码执行,而漏洞产生原因是由于绕过了Liferay Portal自定义的安全保护机制从而使得允许通过Freemarker模板实例化任意对象完成沙箱逃逸(CVE-2020-13445)
- 1
- 0
- 带头大哥
- 发布于 2021-04-07 20:02:31
- 阅读 ( 4463 )