RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

phpjm混淆解密浅谈

在上一篇文章中做代码审计的时候,提到过 phpjm 混淆的解密还原,后面有一些小伙伴私信问具体过程,本篇就展开说说。

  • 4
  • 1
  • dota_st
  • 发布于 2022-04-15 09:41:19
  • 阅读 ( 8625 )

代码审计之上传自解压漏洞

最近在学习java代码审计, 这两天看了一篇Java审计文章后, 举一反三, 写了本篇文章. 上传自解压漏洞是一个容易被 大家忽略的漏洞, 一些网站对上传功能进行了黑白名单过滤, 但当网站有一些上传压缩包功能需求的时候, 就可能忽 略解压后的文件是否为恶意文件, 进而可能产生漏洞.

  • 7
  • 1
  • mix
  • 发布于 2022-04-02 09:41:08
  • 阅读 ( 10338 )

狂雨cms代码审计

狂雨小说内容管理系统(简称KYXSCMS)提供一个轻量级小说网站解决方案,基于ThinkPHP5.1+MySQL的技术开发。 KYXSCMS,灵活,方便,人性化设计简单易用是最大的特色,是快速架设小说类网站首选,...

  • 4
  • 1
  • Panacea
  • 发布于 2022-02-21 09:38:18
  • 阅读 ( 9464 )

CC链之新利用链分析

分析使用DualHashBidiMap、DualTreeBidiMap、DualLinkedHashBidiMap类作为触发点来构造新的Commons Collections利用链

  • 7
  • 1
  • 好家伙
  • 发布于 2022-02-18 09:39:19
  • 阅读 ( 9141 )

cms审计小结

审计了挺多的cms了,也有挖出不少的CNVD,幸运的是还申请了1个CVE编号,第一个编号总归是有些许激动的;这篇审计小结,就当做是自己审计经验的小小总结吧

  • 1
  • 1
  • joker
  • 发布于 2021-12-28 08:43:59
  • 阅读 ( 9113 )

Goland 代码审计: GitHub 开源项目 Crawlab

Goland 代码审计: GitHub 开源项目 Crawlab

  • 1
  • 1
  • PeiQi
  • 发布于 2021-12-22 09:29:17
  • 阅读 ( 11193 )

java代码审计之xss

个人对审计的理解,互相学习。

  • 2
  • 1
  • fan
  • 发布于 2021-11-15 10:00:11
  • 阅读 ( 8577 )

小白第一次审计

## 前言 刚开始学审计 也是看了社区们师傅的文章https://forum.butian.net/share/387 可能是自己太菜了 感觉不太详细 就自己审了一下 ## 漏洞分析 先打开cms 简单浏览一下 [![](https://s...

  • 1
  • 1
  • 永安寺
  • 发布于 2021-08-31 16:40:48
  • 阅读 ( 8006 )

代码审计-无回显SSRF的奇妙审计之旅

审计了一个php的无回显ssrf和getshell

  • 2
  • 1
  • XG小刚
  • 发布于 2021-08-30 10:08:24
  • 阅读 ( 8193 )

某小型cms代码审计

审计两个版本 v2021.0521152900 和v2021.0528154955,7月2号爆出的v2021.0521152900存在任意文件删除和任意文件上传,审计出来以后又审计了一下下一版本,图片都是当时审计时做的笔记...

  • 1
  • 1
  • A1kaid
  • 发布于 2021-08-23 17:21:28
  • 阅读 ( 7255 )

某商城代码审计

## 工具: #### Phpstrom、Seay源代码审计系统 ## 步骤: ### 自动审计: ##### 找到关键点,这是在后台部分的备份功能。 [![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/08/attach-...

  • 1
  • 1
  • N1eC
  • 发布于 2021-08-17 18:00:29
  • 阅读 ( 7953 )

某攻防演练期间遇到的shuipfcms的RCE审计过程

在某次授权的攻防演练项目中遇到了目标使用shuipfcms系统,接着对shuipfcms进行本地搭建后代码审计,最终获取目标权限。

某客户关系管理系统代码审计

PHP CMS 代码审计实战,RCE, SQL注入,任意文件删除,任意文件上传。

  • 0
  • 1
  • JOHNSON
  • 发布于 2021-07-28 12:04:30
  • 阅读 ( 8614 )

锐*源码-php审计

# 锐捷网络-EWEB网管系统代码审计 ## 路由规则: /文件夹名/文件名.php?a(action)=flowEasy(方法名) /文件夹名/文件名.php?c(controller)=flowEasy(控制器名) ### 例子: [![](htt...

  • 0
  • 1
  • N1eC
  • 发布于 2021-07-30 14:04:39
  • 阅读 ( 8172 )

bluecms1.6sp1代码审计+一键getshellpoc编写

入行代码审计以及POC漏洞利用脚本编写,POC提供简单思路,包括基本的参数设置,爬虫等,未进行函数封装以及异常处理,主要是提供新手的思路,表哥们和我一起学习进步把!

  • 0
  • 1
  • soufaker
  • 发布于 2021-07-29 14:55:07
  • 阅读 ( 7643 )

代码审计---文件上传

代码审计---文件上传

  • 0
  • 1
  • yggcwhat
  • 发布于 2021-07-22 14:12:08
  • 阅读 ( 9396 )

CMS SQL注入代码审计

cms sql注入代码审计 审计工具 seasy源代码审计系统 Phpstudy 8.1.1.2 Phpcms(9.6.0GBK) 审计步骤 在phpcms中默认对输入的数据进行转义 通过对代码审计发现一处在对用户信息...

  • 1
  • 1
  • 404test
  • 发布于 2021-07-15 16:30:21
  • 阅读 ( 7318 )

浅谈Java Web中Word转换器与SSRF

在 Java Web 开发中,Word 转换成 PDF 是比较常见的功能。在实际开发时,通常会依赖现有的组件库来实现这一功能,但如果对这些库的实现细节不够了解,可能会面临一些潜在的安全风险。

  • 0
  • 0
  • tkswifty
  • 发布于 2025-09-29 09:00:00
  • 阅读 ( 526 )

org.json与参数走私浅析

在Java Web生态中,org.json是一个轻量级的json构造和解析工具包,其提供了简洁的API进行相关JSON的反序列化操作。浅谈其解析过程与参数走私案例。

  • 0
  • 0
  • tkswifty
  • 发布于 2025-09-25 09:00:01
  • 阅读 ( 542 )

OpenJDK JMH反序列化漏洞挖掘分析

JMH,即Java Microbenchmark Harness,是专门用于代码微基准测试的工具套件。主要是基于方法层面的基准测试,精度可以达到纳秒级。该组件存在一个未被别人公开过但目前来说实战意义不大的反序列化漏洞,仅可当作思路阅读

  • 0
  • 0
  • novy
  • 发布于 2025-07-01 09:00:00
  • 阅读 ( 1943 )