ki10Moc
小惜渗透
JDK8任意文件写到RCE
在对某产品进行挖掘时,发现了一个任意文件写的漏洞口,项目是以jar包的形式来运行的,在这种场景下除了能够覆盖掉服务器上的文件之外,似乎无法做其他操作。
- 2
- 0
- 山石网科安研院
- 发布于 2022-06-02 09:39:54
- 阅读 ( 10171 )
山石网科安研院
Java 文件上传与JSP webshell
系统学习并总结了 Java 的文件上传与 JSP shell 的实现,JSP shell 的实现分为了直接的命令执行方法的调用和类加载两种方式,和反序列化的最后执行命令类似,但是方式实际上多种多样,主要参考了 三梦师傅 github 上的开源项目。
- 4
- 1
- sp4c1ous
- 发布于 2022-05-25 09:30:20
- 阅读 ( 10939 )
sp4c1ous
.NET执行系统命令(第1课)之 ObjectDataProvider
## 0X01 背景 .NET反序列化漏洞里提及的核心Gadget:**ObjectDataProvider类**,封装于WPF核心程序集之一PresentationFramewor...
- 0
- 0
- Ivan1ee
- 发布于 2022-05-12 09:25:53
- 阅读 ( 7941 )
Ivan1ee
pokeroot
2022 PWNHUB 春季赛 WriteUp Web&Misc
2022 PWNHUB 春季赛 WriteUp Web&Misc
- 0
- 0
- mon0dy
- 发布于 2022-04-28 10:29:10
- 阅读 ( 7872 )
2022DASCTF Apr X FATE WriteUp Web&Misc
2022DASCTF Apr X FATE WriteUp Web&Misc
- 2
- 0
- mon0dy
- 发布于 2022-04-28 10:29:06
- 阅读 ( 7855 )
记一次曲折的获取权限
碰到了一个对外宣传是否安全的站点,但实际测试下来并不安全。不过在这次获取权限的过程中还是有点曲折,记录下来并分享给大家。
- 5
- 5
- en0th
- 发布于 2022-04-25 09:44:46
- 阅读 ( 10209 )
en0th
2022 lineCTF WEB WriteUp
2022 lineCTF WEB 复现 部分WriteUp (自闭了已经
- 0
- 0
- mon0dy
- 发布于 2022-04-08 09:46:55
- 阅读 ( 11150 )
2022DASCTF X SU 三月春季挑战赛 ALL Misc&Web
2022DASCTF X SU 三月春季挑战赛 ALL Misc&Web
- 0
- 0
- mon0dy
- 发布于 2022-04-08 09:42:33
- 阅读 ( 19465 )
python批量化提交100+shell
前段时间,在写批量化挖掘的脚本,现在已经收工了,大概也就100+shell左右,用来练手的其余sql注入,未授权都交给公益src了。
- 3
- 0
- echoa
- 发布于 2022-04-01 17:30:03
- 阅读 ( 9501 )