19推荐

35436浏览

记某系统有趣的文件上传

本次是一次漏洞复现记录，记录了一个有趣的后台文件上传漏洞，以后遇到类似的拦截可以参考这次的过程绕过。

• 21
• 中铁13层打工人 发布于 2023-12-11 15:41

1推荐

16433浏览

由php反序列化字符串逃逸造成的SQL注入漏洞分析

此篇文章针对的emlog轻量级博客及CMS建站系统存在反序列化字符逃逸＋sql注入漏洞，进一步了解学习php反序列化的字符逃逸问题。

• 1
• 中铁13层打工人 发布于 2023-12-11 10:09

1推荐

17227浏览

I DOC VIEW前台RCE分析

I DOC VIEW是一个在线的文档查看器，其中的/html/2word接口因为处理不当，导致可以远程读取任意文件，通过这个接口导致服务器下载恶意的JSP进行解析，从而RCE。

• 1
• SpringKill 发布于 2023-12-07 09:00

12推荐

8528浏览

一次省护红队的经历(100w公民信息泄露+找到双网卡主机—>内网沦陷)

愿我们都能以拿到第一台机器shell的热情继续学习下去，为网上家园筑起属于我们的安全堤坝！

• 13
• ekkoo 发布于 2023-12-05 09:00

0推荐

17712浏览

IDocView前台远程代码执行漏洞分析

IDocView前台远程代码执行漏洞分析细节

• 1
• markin 发布于 2023-12-04 10:26

8推荐

7972浏览

【Web实战】 记一次曲折的XXL-JOB API Hessian反序列化到Getshell

一个由Hessian API引发的getshell

• 7
• Nookipop 发布于 2023-11-29 10:00

0推荐

19537浏览

【Web实战】浅谈Apache Shiro FORM URL Redirect漏洞(CVE-2023-46750)

Apache官方近期披露了CVE-2023-46750，在受影响版本中，由于在FORM身份验证中没有对认证后重定向的页面做验证，攻击者可以构造恶意的URL，使得用户重定向到恶意的URL地址。

• 0
• tkswifty 发布于 2023-11-28 10:00

1推荐

4019浏览

【Web实战】浅谈Jersey中常见的鉴权措施

跟SpringMvc一样，Jersey也提供了类似过滤器和拦截器的功能，辅助进行类似鉴权类业务需求的开发。简单总结下Jersey中常用的鉴权措施。

• 0
• tkswifty 发布于 2023-11-23 10:00

0推荐

15369浏览

【Web实战】ActiveMQ漏洞分析保姆教程（CVE-2023-46604）

ActiveMQ漏洞分析保姆教程（CVE-2023-46604） by 猫蛋儿安全团队

• 0
• 猫蛋儿安全团队 发布于 2023-11-23 09:00

0推荐

14265浏览

【Web实战】浅谈PlantUML回显SSRF漏洞（CVE-2023-3432）

PlantUML是一种开源的、用于绘制UML（Unified Modeling Language）图表的工具，对CVE-2023-3432的成因进行分析。

• 0
• tkswifty 发布于 2023-11-22 09:00

0推荐

4025浏览

【Web实战】对通达OA11前台RCE的两个漏洞的分析与调优

对通达OA11前台RCE的两个漏洞的分析与调优，本文所涉及漏洞均为互联网上已公开漏洞,仅用于合法合规用途，严禁用于违法违规用途。

• 0
• zcy2018 发布于 2023-11-16 10:00

2推荐

20677浏览

【Web实战】 Atlassian Confluence CVE-2023-22518/22515 Getshell 速通

对 CVE-2023-22518 的一波分析

• 0
• Nookipop 发布于 2023-11-13 10:07

1推荐

19884浏览

某Cloud系统漏洞分析

最近学习反序列漏洞时，恰好看到某系统官方在安全公告中通告了较多的反序列化漏洞。出于兴趣，尝试对该系统的公开漏洞进行一次个人的浅浅分析。如有不对之处，请各位师傅指正并包涵。

• 4
• 中铁13层打工人 发布于 2023-11-13 09:00

0推荐

19863浏览

【Web实战】浅析CVE-2023-22518

简单分析下CVE-2023-22518这个高危漏洞，师傅们切记不要再生产环境使用。

• 0
• SpringKill 发布于 2023-11-10 10:00

3推荐

18772浏览

【Web实战】哥斯拉全语言流量分析

哥斯拉是继菜刀、蚁剑、冰蝎之后的又一个webshell利器，这里就不过多介绍了。 GitHub地址：https://github.com/BeichenDream/Godzilla 很多一线师傅不太了解其中的加解密手法，无法进行解密，这篇文章介绍了解密的方式方法，主要补全了网上缺少的ASP流量分析、PHP解密脚本和C#解密脚本。

• 3
• JKL 发布于 2023-11-09 10:00