普元Primeton EOS Platform(以下简称普元EOS)在节前被爆出存在反序列化漏洞。遂在此分析该漏洞成因,如有疏漏或错误,欢迎大佬指正包涵。
2024高校网络安全管理运维赛 wp
转载个人公众号
"凌武杯" D^3CTF 2024 wp
kkFileView任意文件上传
用友NC runStateServlet注入漏洞分析
由易到难全面剖析花指令
U8cloud base64 SQL注入漏洞分析,真的是file/upload/base64导致的SQL注入吗?
再学学Fastjson呗
小白的代码审计入门!如果有误 望大佬们帮忙指正:D
通过帆软channel反序列化历史漏洞,学习二次反序列化绕过黑名单限制进行利用
某天刷手机看到微信公众号上发布的漏洞通告 "Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)" 就联想到了WebLogic之前也存在过的JNDI注入漏洞,分别是CVE-2023-21839 和 CVE-2023-21931 。漏洞通告中说的是CVE-2023-21839的补丁绕过,于是就想看看,学习学习,也回顾一下前面两个漏洞
前段时间看到公开了一个漏洞payload很奇怪,正好有空就分析了一下,也是第一次接触了.net的代码审计,一通分析下来,发现和审计java和php的思路是一样的...
GitLab任意用户密码重置漏洞代码级分析(CVE-2023-7028)
漏洞分析 在 qfq_change_class 里面如果用户态没有提供 TCA_QFQ_LMAX,就会取网卡的 mtu 作为 lmax 且不做校验,loopback 网卡的 mtu 可以被设置为 2^31-1 // qfq_change_class() in net/sched...
最近有关公众号发布几个国产中间件漏洞预警,本着学习心态对其进行分析研究
Apache ActiveMQ jolokia 远程代码执行漏洞利用与分析(CVE-2022-41678)
Unserialize函数的使用很少见,而Session反序列化可控条件又比较苛刻。这次就和大家分享最后一种Phar伪协议反序列化漏洞案例作为学习,祝师傅们以后审计时多多出洞。
Euler Finance闪电贷攻击分析复现