XStream CVE-2021-29505分析与简化
XStream CVE-2021-29505分析与简化
- 0
- 0
- 带头大哥
- 发布于 2021-06-02 09:37:56
- 阅读 ( 5774 )
带头大哥
关于php一句话木马的学习
# php一句话后门 ## 开发很久的可利用函数 ### eval和assert php任意代码执行的一句话后门,我们喜欢用的是传统的**eval**,php5,7通用。 ``` <?php @eval($_POST['a']) ?>...
- 2
- 2
- Johnson666
- 发布于 2021-05-31 17:16:23
- 阅读 ( 5853 )
Johnson666
浅谈信息收集
## 写在前面 信息收集对于渗透测试来说是很重要的,是渗透测试的前期准备工作,俗话说知己知彼,才能百战不殆。掌握了对目标的足够信息,我们才能更好地开展渗透测试。 信息收集的方式可...
- 5
- 5
- Johnson666
- 发布于 2021-05-31 17:13:38
- 阅读 ( 8081 )
【漏洞挖掘】逻辑漏洞之找回密码
互联网中,有用户注册的地方,基本就会有密码找回的功能。而密码找回功能里可能存在的漏洞,很多程序员都没有想到。 而这些漏洞往往可能产生非常大的危害,如用户账号被盗等。
- 8
- 5
- 边路之虎
- 发布于 2021-05-28 12:59:48
- 阅读 ( 7071 )
边路之虎
CVE-2021-21972 Vmware vcenter未授权任意文件漏洞分析
CVE-2021-21972 Vmware vcenter未授权任意文件漏洞分析
- 0
- 1
- 带头大哥
- 发布于 2021-05-28 09:56:46
- 阅读 ( 5466 )
特斯拉TBONE漏洞分析
德国的两名安全研究员Ralf-Philipp Weinmann和Benedikt Schmotzle在CanSecWest会议上公布了Tbone漏洞,该漏洞可实现0-click无接触对Tesla的近距离攻击,通过操控一辆无人机实现了开启Tesla后备箱,解锁等操作。
- 0
- 6
- 带头大哥
- 发布于 2021-05-28 09:40:13
- 阅读 ( 8992 )
大华dss后台系统渗透
## 0x01 资产发现 对资产目录进行扫描,发现其dss后台系统登录界面,对其进行了弱密码爆破,成功获取到管理管理员的账号密码。 [
CVE-2015-2545样本调试分析
CVE-2015-2545这是一种MSOffice漏洞,允许通过使用特殊的 Encapsulated PostScript (EPS)图形文件任意执行代码。本文主要是对其样本的调试分析过程。
- 0
- 0
- zuoyou
- 发布于 2021-05-27 12:27:22
- 阅读 ( 5164 )
pocassist — 全新的开源在线poc测试框架
[pocassist](https://github.com/jweny/pocassist) 是一个 Go (Golang) 编写的全新的开源漏洞测试框架,实现对poc的在线编辑、管理、测试。 如果你不想撸代码,又想实现poc的逻辑,又想在线...
- 1
- 0
- jweny
- 发布于 2021-05-26 10:48:44
- 阅读 ( 5787 )
jweny
maoge
Spring Boot Actuator(eureka xstream deserialization RCE)漏洞测试及修复
针对Spring Boot Actuator(eureka xstream deserialization RCE)进行测试以及修复
- 0
- 0
- zuoyou
- 发布于 2021-05-16 23:38:02
- 阅读 ( 10402 )
某开源ERP最新版SQL与RCE的审计过程
## 前言 代码路径 ``` https://gitee.com/jishenghua/JSH_ERP ``` 软件版本 ``` 华夏ERP_v2.3.1 ``` 源码审计的流程都是一样,从外部输入点开始跟踪数据流,判断数据处理过...
- 1
- 0
- hac425
- 发布于 2021-05-14 21:57:26
- 阅读 ( 7099 )