记一次渗透实战-代码审计到getshell

一次渗透测试遇见的系统,遂进行代码审计

  • 16
  • 14
  • dota_st
  • 发布于 2022-02-14 09:28:23
  • 阅读 ( 8929 )

JNDI入门

关于JNDI的一些学习

  • 2
  • 0
  • h0ld1rs
  • 发布于 2022-02-10 11:32:23
  • 阅读 ( 6123 )

浅析JAVA代码审计中的“幽灵代码”

从漏洞挖掘的角度看JAVA的切面、拦截器和过滤器。

  • 6
  • 4
  • Alivin
  • 发布于 2022-01-24 10:00:23
  • 阅读 ( 7556 )

某国外cms代码审计

最近发现无聊的时候发现这个cms有个上传洞,于是心血来潮的审计了一下,整体技术含量不是特别大,代码审计初学者也可以学习一下

  • 1
  • 3
  • ZAC安全
  • 发布于 2022-01-20 11:40:43
  • 阅读 ( 7062 )

记一次Java代码审计

最近在学习Java代码审计,找了一个Java写的CMS练练手

  • 4
  • 5
  • 好家伙
  • 发布于 2022-01-06 09:38:21
  • 阅读 ( 8331 )

cms审计小结

审计了挺多的cms了,也有挖出不少的CNVD,幸运的是还申请了1个CVE编号,第一个编号总归是有些许激动的;这篇审计小结,就当做是自己审计经验的小小总结吧

  • 1
  • 1
  • joker
  • 发布于 2021-12-28 08:43:59
  • 阅读 ( 6764 )

Goland 代码审计: GitHub 开源项目 Crawlab

Goland 代码审计: GitHub 开源项目 Crawlab

  • 1
  • 1
  • PeiQi
  • 发布于 2021-12-22 09:29:17
  • 阅读 ( 9076 )

一次简单的Java代码审计

一次简单的代码审计

  • 5
  • 0
  • JOHNSON
  • 发布于 2021-12-17 09:37:57
  • 阅读 ( 11929 )

Wordpress敏感信息泄漏漏洞 CVE-2021-38314 代码审计

WordPress Redux Framework class-redux-helpers.php 敏感信息泄漏漏洞 CVE-2021-38314 | 代码审计复现

  • 1
  • 0
  • PeiQi
  • 发布于 2021-12-03 09:51:54
  • 阅读 ( 7129 )

Java代码审计入门

在安全从业人员的日常工作中,Java相关组件出现高危漏洞的频率比较高。 而代码审计就是挖掘源程序中的代码安全问题,其一直是发现应用程序漏洞的一种非常有效的方法。 代码审计是黑盒渗透测试的重要补充,可以发现更多的隐藏问题。 因此,代码审计通常被认为是 SDL 中非常重要的一部分。

fastadmin--upload getshell

之前遇到了一个低版本的fastadmin的站,后台能够上传文件getshell,本来想着扒拉一下源码,Github一看已经更新到了20210730的最新版,那就来看最新版的源码吧...

  • 1
  • 2
  • joker
  • 发布于 2021-11-15 14:47:52
  • 阅读 ( 11112 )

java代码审计之xss

个人对审计的理解,互相学习。

  • 2
  • 1
  • fan
  • 发布于 2021-11-15 10:00:11
  • 阅读 ( 6161 )

记详细的Java代码审计

# 记详细的Java代码审计 ## 过滤器简介 Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件...

  • 1
  • 0
  • hrk
  • 发布于 2021-08-31 18:36:48
  • 阅读 ( 6672 )

小白第一次审计

## 前言 刚开始学审计 也是看了社区们师傅的文章https://forum.butian.net/share/387 可能是自己太菜了 感觉不太详细 就自己审了一下 ## 漏洞分析 先打开cms 简单浏览一下 [![](https://s...

  • 1
  • 1
  • 永安寺
  • 发布于 2021-08-31 16:40:48
  • 阅读 ( 5892 )

openemr任意文件读取删除漏洞

OpenEMR 是最受欢迎的开源电子健康记录和医疗实践管理解决方案。 5.0.1版本后台存在任意文件读取和删除漏洞。

  • 1
  • 0
  • langke
  • 发布于 2021-08-31 15:04:34
  • 阅读 ( 5311 )

s-cms v5版本代码审计-insert注入

## 0x01前言 看到以前的版本爆了挺多洞的,想看看这个新版本还有没有漏洞给我捡一下,结果还真捡到,然后分享一下给大家。 ## 0x02 payload复现 payload(单引号要htmlencode): ```sql ','...

  • 2
  • 2
  • 修仙者
  • 发布于 2021-08-31 14:05:50
  • 阅读 ( 5891 )

代码审计-无回显SSRF的奇妙审计之旅

审计了一个php的无回显ssrf和getshell

  • 2
  • 1
  • XG小刚
  • 发布于 2021-08-30 10:08:24
  • 阅读 ( 5774 )

HisiCms代码审计

Cms官方网址 https://www.hisiphp.com/

  • 1
  • 0
  • 化鱼hy
  • 发布于 2021-08-25 10:38:55
  • 阅读 ( 5784 )

梦想家内容管理系统 Zip Slip Traversal Vulnerability

ZIP目录遍 ​ 因为ZIP压缩包文件中允许存在“../”的字符串,攻击者可以利用多个“../”在解压时改变ZIP包中某个文件的存放位置,覆盖掉应用原有的文件。可以利用此漏洞写入计划任务,或者写入Webshell造成任意代码执行漏洞。

某小型cms代码审计

审计两个版本 v2021.0521152900 和v2021.0528154955,7月2号爆出的v2021.0521152900存在任意文件删除和任意文件上传,审计出来以后又审计了一下下一版本,图片都是当时审计时做的笔记...

  • 0
  • 1
  • A1kaid
  • 发布于 2021-08-23 17:21:28
  • 阅读 ( 5081 )