Java安全 - Commons-Beanutils链

来学学CB

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-17 09:40:22
  • 阅读 ( 13684 )

登录口的对抗

主要从常规操作,逻辑缺陷,网站框架,网站接口这几个方面进行了详细的介绍

  • 8
  • 4
  • online101
  • 发布于 2024-04-17 09:30:00
  • 阅读 ( 2798 )

MINI HTTPD 远程代码执行漏洞分析

该模块利用了Ultra Mini HTTPD 1.21中基于堆栈的缓冲区溢出,允许远程攻击者通过HTTP请求中的长资源名执行任意代码。此漏洞必须处理应用程序的请求处理程序线程在60秒后被监视器线程终止的问题。为此,它分配一些RWX内存,将负载复制到它并创建另一个线程。完成后,它终止当前线程,这样它就不会崩溃,从而不会使进程崩溃。

  • 0
  • 0
  • 10cks
  • 发布于 2024-04-16 10:00:00
  • 阅读 ( 14102 )

MINI HTTPD 远程代码执行漏洞绕过DEP

在上一篇文章中,我们关闭(其实是默认关闭)了系统的DEP,本文我们将在开启DEP的系统上绕过DEP保护来实现EXP的编写。

  • 0
  • 0
  • 10cks
  • 发布于 2024-04-16 09:30:02
  • 阅读 ( 13365 )

MINI HTTPD 远程代码执行漏洞EXP编写

书接上文,本次我们将完成对本漏洞的利用。

  • 0
  • 0
  • 10cks
  • 发布于 2024-04-16 09:00:02
  • 阅读 ( 13180 )

某众测前端解密学习记录

某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验,希望对大家有所帮助。

  • 12
  • 13
  • lei_sec
  • 发布于 2024-04-15 10:13:29
  • 阅读 ( 4552 )

Java安全 - ROME链

再看看ROME呗

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-15 10:10:13
  • 阅读 ( 11712 )

CVE-2023-44974 emlog CMS任意文件上传漏洞分析

CVE-2023-44974 emlog CMS任意文件上传漏洞分析

  • 0
  • 2
  • Myan
  • 发布于 2024-04-15 09:39:26
  • 阅读 ( 10107 )

代码审计入门篇-CVE-2018-14399

小白的代码审计入门!如果有误 望大佬们帮忙指正:D

  • 0
  • 1
  • p1ng
  • 发布于 2024-04-12 10:00:01
  • 阅读 ( 10404 )

BYOVD技术实战:利用内核驱动关闭杀软进程

BYOVD是`Bring Your Own Vulnerable Driver`的缩写,是一种对抗性技术,攻击者将易受攻击的合法驱动程序植入目标系统。然后,他们利用易受攻击的驱动程序执行恶意操作。由于合法签名的驱动程序受安全软件信任,因此它们既不会被标记也不会被阻止。此外,BYOVD 攻击中涉及的驱动程序通常是内核模式驱动程序。本文将以Gmer64.sys为例,来分析该驱动的漏洞利用和实现一个C#程序进行杀软进程关闭,

  • 0
  • 0
  • 10cks
  • 发布于 2024-04-12 09:00:02
  • 阅读 ( 2173 )

Java安全 - FreeMarker模版注入浅析

再学学SSTI

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-11 10:00:02
  • 阅读 ( 2074 )

三种针对JSON Web Tokens的新攻击方式

本文是笔者阅读BLACK HAT-2023中《Three New Attacks Against JSON Web Tokens》这篇paper学习后所写的笔记,涉及到相关的原理知识、3种新的JWT攻击姿势和复现过程。

  • 3
  • 2
  • fengsec
  • 发布于 2024-04-11 09:37:29
  • 阅读 ( 2052 )

Jersey参数处理过程与常见风险

Jersey是一个开源的RESTful Web服务框架,它实现了JAX-RS规范(JAX-RS是Java API for RESTful Web Services的简称,它是Java EE的一个规范,提供了一组用于创建RESTful Web服务的API。)中定义的API,并提供了许多额外的特性和工具来简化RESTful Web服务的开发。浅谈其参数处理过程。

  • 0
  • 0
  • tkswifty
  • 发布于 2024-04-11 09:36:30
  • 阅读 ( 1675 )

Java安全 - Learning Vaadin Gadget From CTF

转载

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-10 10:08:47
  • 阅读 ( 1790 )

记某次AWDP的坎坷之旅

转载

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-10 10:00:01
  • 阅读 ( 1969 )

U8cloud base64 SQL注入漏洞分析

U8cloud base64 SQL注入漏洞分析,真的是file/upload/base64导致的SQL注入吗?

  • 0
  • 1
  • So4ms
  • 发布于 2024-04-10 09:39:54
  • 阅读 ( 11107 )

再谈强网ThinkShop

CTF真有趣

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-09 10:00:00
  • 阅读 ( 1974 )

万字总结护网知识(基础知识,top10漏洞,应急响应,设备知识,挖矿总结,内网知识)

万字总结护网知识(基础知识,top10漏洞,应急响应,设备知识,挖矿总结,内网知识)

  • 76
  • 44
  • xhys
  • 发布于 2024-04-09 09:48:11
  • 阅读 ( 12273 )

Java安全 - FastJson系列详解

再学学Fastjson呗

  • 2
  • 1
  • Zacky
  • 发布于 2024-04-08 10:00:01
  • 阅读 ( 12383 )

Java安全 - CommonsCollections链 全系列详解

再回顾回顾CC系列吧

  • 1
  • 0
  • Zacky
  • 发布于 2024-04-08 09:50:05
  • 阅读 ( 11364 )