前言:日常项目任务薅洞实战,完成项目的同时提升一下日站的个人综合技能水平,看同事的漏洞报告遇到好多回若依,这次恰巧自己遇上了就来试试,搜搜能找到公开的poc,找不到分析文章,这次就扒拉源码本地搭建分析一波后台SQL注入的原理学习学习...
菜鸡第一次实战中碰到mssql的堆叠注入,大佬们轻喷。
![](https://whoamianony.oss-cn-beijing.aliyuncs.com/img/20210317104322.jpg) [toc] ## COM COM即组件对象模型(Component Object Model,COM) ,是基于 Windows 平台的一套**组...
![](https://whoamianony.oss-cn-beijing.aliyuncs.com/img/20210430203230.jpeg) [toc] ## 前言 脚本小子一个,从文章中你也应该能看出来。。。没办法,谁叫我菜呢! 本文总结了一...
![](https://whoamianony.oss-cn-beijing.aliyuncs.com/img/20210727002340.png) [toc] ## 漏洞概述 [Squirrelly](https://github.com/squirrellyjs/squirrelly) 是一个用 JavaScript...
从PDO下的注入思路到Git 2000 Star项目0day
没有什么可以指导带师傅们阅读的,嘿嘿嘿
#前言 表哥们一般都有自己强大的工具库,今天我也稍作整理,分享交流出来一部分 #信息收集 ####dirbuster kali自带的一款工具,fuzz很方便 ####gorailgun 一款自动化做的非常好的...
内网域环境是学习内网知识的重要的一环,理解域内的基础知识,以及搭建简单的域环境是学习内网的必备基础。
**前提摘要:** 通过批量的爬取和扫描,寻找到了个目标站点,是个关于bc的站点。兄弟们冲了他!
#0x01 厂商描述 用友NC6是用友NC产品的全新系列,是面向集团企业的世界级高端管理软件。市场占有率已经达到亚太第一 #0x02 漏洞概述 该漏洞是由于用友NC对外开放了BeanShell接口,任何人都...
# 0x01 前言 微信平台是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利,但同时也给不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。由于微信本身是一个信息传递平...
RSA算法涉及三个参数,n,e,d,其中分为私钥和公钥,私钥是n,d,公钥是n,e。n是两个素数的乘积,一般这两个素数在RSA中用字母p,q表示。e是一个素数。d是e模 phi(n) 的逆元,d是由e,p,q可以求解出的。明文表示为m。然后通过RSA加密,得到密文C。
研究java中利用js的命令执行
某CMS代码审计从前台SQL注入到后台RCE
Cms官方网址 https://www.hisiphp.com/
第一次尝试自己审计代码,小白一个。审计了好长时间,终于皇天不负有心人,找到一处模板注入,最终发现一处代码执行。 审计过程: 采用关键函数溯源法来找的。全局搜索eval函数在e/class/...
# 0.前言 在参加某市攻防演练的时候,发现目标站,经过一系列尝试,包括弱口令、SQL注入等等尝试后,未获得到有效的入口点。在准备放弃之时,看到页脚的banner:xxxxx信息科技有限公司 [!...
# 一、概念理解 ### 1.什么是越权越权: 越权访问(Broken Access Control,简称BAC)是我们在测试过程中遇到比较多的漏洞,该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户...
## jndi有什么用 jndi是用于目录服务的java api,它允许Java客户端通过名称发现和查找数据和资源。直白说就是将名字和对象绑定,通过名字检索对象,对象可以储存在RMI、LDAP、CORBA等等. JND...