记一次工控比赛漏洞挖掘
## 1、前言 “中国制造2025”等国家战略的推出,以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动...
- 5
- 4
- 十二小可爱
- 发布于 2021-10-25 19:06:57
- 阅读 ( 10730 )
十二小可爱
三星手机 CVE-2021-25361 漏洞分析
# Samsung CVE-2021-25361 漏洞分析及利用 ## **0x1 漏洞描述** 该漏洞编号为 `CVE-2021-25361`,官方描述如下。 ```txt CVE-2021-25361: Arbitrary file read/write vulnerability v...
- 0
- 4
- Tony酱
- 发布于 2021-07-26 10:49:01
- 阅读 ( 6291 )
Tony酱
N1eC
fnmsd
xingshen
某CMS代码执行漏洞分析
对opensns的一次代码审计,涉及到一些tp框架的方法利用,以及对tp框架进行审计时经常忽略的点 #0x2 漏洞分析 官网下载源码:http://os.opensns.cn/product/index/download...
- 1
- 4
- moonv
- 发布于 2021-06-22 09:23:40
- 阅读 ( 8064 )
moonv
基于SimpleXMLElement class的免杀webshell
基于SimpleXMLElement class的免杀webshell
- 2
- 3
- nn0nkeyk1n9
- 发布于 2025-03-18 09:33:27
- 阅读 ( 28119 )
中铁13层打工人
结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践
本文介绍了作者在数据安全比赛中遇到的一个开源框架的代码审计过程。作者使用了多种工具,特别是“通义灵码”,帮助发现了多个高危漏洞,包括路径遍历、文件上传、目录删除、SQL注入和XSS漏洞。文章详细描述了如何利用这些工具进行漏洞定位和验证,并分享了使用“通义灵码”的心得和体验。最后,作者总结了AI在代码审计中的优势和不足,并展望了未来的发展方向。
- 3
- 3
- 周周的奇妙编程
- 发布于 2025-01-06 10:00:00
- 阅读 ( 25385 )
代码审计 - MCMS v5.4.1 0day挖掘
记一次 MCMS v5.4.1 代码审计,编号为 CVE-2024-42990&CVE-2024-42991。本文由笔者首发于先知社区的技术文章板块:https://xz.aliyun.com/t/16630
- 3
- 3
- ve1kcon
- 发布于 2025-01-02 10:00:00
- 阅读 ( 25124 )
一文搞懂windows UAC机制逻辑及提权原理
核心内容:"一文讲清楚windows UAC核心机制逻辑,总结历史上常见UAC提权方式是如何利用这些逻辑的漏洞来实现提权的,并提出检测思路"
- 1
- 3
- Ga0WeI
- 发布于 2024-09-06 09:00:00
- 阅读 ( 20374 )
Ga0WeI
某安防管理平台一次远程命令执行漏洞分析
通过某些渠道拿到一些漏洞情报,直接打开idea完整的跟一下给他卷出来,简单的讲述一下整个分析的过程以及漏洞触发的流程
- 3
- 3
- zhizhuo
- 发布于 2024-06-20 10:00:00
- 阅读 ( 41799 )
某积分商城任意金额支付漏洞分析利用及思考
大部分开发人员在开发时都会有一种思维惯性,传参处处有校验==处处都可信,但这个等式并非恒成立
- 5
- 3
- K1v1n
- 发布于 2024-05-10 10:00:00
- 阅读 ( 18300 )
一次有趣的锐捷前台无条件RCE漏洞分析
本篇文章对锐捷前台无条件RCE漏洞进行细致分析和代码审计,带你一步步进入最高权限的天堂,感受CNVD满分漏洞的无穷魅力
- 1
- 3
- 新人小安
- 发布于 2024-04-07 10:00:01
- 阅读 ( 14005 )
某oa命令执行漏洞挖掘思路
前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。
- 5
- 3
- 中铁13层打工人
- 发布于 2024-01-23 09:00:02
- 阅读 ( 38478 )
某cms模板渲染导致rce漏洞分析
模板渲染是网站开发中常用的技术,可以实现动态生成页面内容。然而,如果模板渲染过程中存在安全漏洞,则可能会导致远程代码执行(RCE)等严重后果。
- 1
- 3
- 中铁13层打工人
- 发布于 2024-01-10 09:00:02
- 阅读 ( 28054 )
某次实战代码审计出sql注入漏洞记录
某次项目中朋友拿到了一份web的源码让帮忙看下,通过审计发现多处注入,挑选一处记录一下
- 1
- 3
- 中铁13层打工人
- 发布于 2023-12-19 10:08:12
- 阅读 ( 17708 )
【Web实战】哥斯拉全语言流量分析
哥斯拉是继菜刀、蚁剑、冰蝎之后的又一个webshell利器,这里就不过多介绍了。 GitHub地址:https://github.com/BeichenDream/Godzilla 很多一线师傅不太了解其中的加解密手法,无法进行解密,这篇文章介绍了解密的方式方法,主要补全了网上缺少的ASP流量分析、PHP解密脚本和C#解密脚本。
- 3
- 3
- JKL
- 发布于 2023-11-09 10:00:01
- 阅读 ( 21008 )
JKL