0推荐

21298浏览

CVE-2024-45507漏洞利用实战：代码分析与自动化检测工具

该项目是一个开源的电子商务平台，提供创建基于最新的J2EE/XML规范和技术标准。各模块之间的功能比较松散，用户可以根据自己的需求进行拆卸整合，非常灵活。该漏洞属于Apache OFBiz中的服务器端请求伪造SSRF漏洞，目前升级到18.12.16版本即可修复该问题。

• 0
• 白安全组 发布于 2025-02-10 10:00

0推荐

20836浏览

DTale代码审计-从身份认证绕过到RCE

D-Tale 是 Flask 后端和 React 前端的组合，为您提供了一种查看和分析 Pandas 数据结构的简便方法，允许用户方便地浏览和分析数据，而无需编写复杂的代码。Dtale 可以在 Jupyter Notebook 中或者独立的网页中运行，使得分析过程更加直观和高效。该系统存在身份验证绕过和RCE漏洞

• 0
• 中铁13层打工人 发布于 2025-02-10 09:49

1推荐

1238浏览

Python沙箱逃逸の旁门左道

本文结合CTF真题和作者对Python底层的理解，贡献了不一样的PyJail的绕过手法

• 1
• 7ech_N3rd 发布于 2025-02-08 09:00

1推荐

1471浏览

nbcio-boot代码审计之JS注入攻守道

一、项目地址 https://gitee.com/nbacheng/nbcio-boot.git 默认账号密码为：admin/123456 二、漏洞简介 该系统存在一个JavaScript表达式注入漏洞，本人此前公开披露过此漏洞，于是该系统进行了...

• 2
• fibuleX 发布于 2025-02-07 10:00

0推荐

27232浏览

间接提示注入攻击全面测评

大型语言模型（LLMs）正日益被整合到代理框架中，使其能够通过工具执行特定操作。这些代理不仅可以处理复杂的任务，还能够与外部系统交互，例如自动化流程和设备控制等。随着技术的进步，LLM驱动的代理被部署到越来越多的环境中，这些环境通常允许访问用户的个人数据，并能够在现实世界中直接执行操作，从而大幅提升了应用的广度和深度。

• 0
• elwood1916 发布于 2025-01-24 09:00

1推荐

24101浏览

经典华为路由器漏洞复现详细分析(包括整个漏洞链)

本篇文章详细讲述了 华为路由器CVE-2017-17215的漏洞分析全流程，通过逆向分析出虚表来解决没有交叉引用导致漏洞定位困难的问题，以及漏洞url定位等多种在iot分析中会用到的tips

• 0
• sn1w 发布于 2025-01-15 10:03

1推荐

21241浏览

ognl+cc 依赖绕过沙箱

ognl+cc 依赖绕过沙箱 前言 今天晚上稍微看了一下 Struct2 攻防，然后无意间通过链接跳转，跳转，再跳转，翻到了一位外国老哥的文章，绕过可谓是淋漓尽致，整激动了，感觉能在如此沙箱下绕过，...

• 1
• nn0nkeyk1n9 发布于 2025-01-14 09:00

0推荐

1058浏览

CVE-2024-41009 Linux内核的bpf ringbuf中存在一个缓冲区重叠漏洞分析与利用

Linux内核的bpf ringbuf中存在一个缓冲区重叠漏洞。可以使得第二个分配的内存块与第一个内存块重叠，结果就是BPF程序能够编辑第一个内存块的头部。一旦第一个内存块的头部被修改，bpf_ringbuf_commit()就会引用错误的页面，可能会导致崩溃。

• 0
• 吃不饱的崽 发布于 2025-01-09 09:00

3推荐

24398浏览

代码审计 - MCMS v5.4.1 0day挖掘

记一次 MCMS v5.4.1 代码审计，编号为 CVE-2024-42990&CVE-2024-42991。本文由笔者首发于先知社区的技术文章板块：https://xz.aliyun.com/t/16630

• 3
• ve1kcon 发布于 2025-01-02 10:00

0推荐

1300浏览

lighttpd溢出漏洞构造ROP链

前几天打了下强网杯决赛，想着分享一下思路

• 0
• Werqy3 发布于 2025-01-02 09:00

0推荐

23427浏览

Vulnserver.exe漏洞分析及利用

本章为笔者在学习二进制安全过程中的学习记录，vulnserver为公开的二进制漏洞的练习程序，本章节的内容为vulnserver.exe的漏洞分析及复现，主要通过windbg和ida结合进行分析。因为vulnserver存在多种调试漏洞，本文主要使用trun参数进行漏洞分析及利用。

• 0
• XYZF 发布于 2024-12-27 10:00

0推荐

1371浏览

.Net Remoting 系列三：Veeam Backup RCE (CVE-2024-40711)

本次带来一个相对完整的分析案例

• 0
• g7shot 发布于 2024-12-25 10:42

0推荐

1256浏览

.Net Remoting 系列二：Solarwinds ARM 漏洞分析

本篇主要是以Solarwinds Arm产品介绍自定义ServerChanel的场景，漏洞分析利用是其次，事实上是去年挖的没有详细记录，后续写的，勿怪哈哈哈

• 0
• g7shot 发布于 2024-12-24 10:11

0推荐

24849浏览

强制解码越狱大模型

安全对齐（Safety Alignment）在人工智能（AI）和大规模语言模型（LLM）的研究中，指的是确保这些模型的行为与预期的社会伦理和安全标准相一致，从而防止模型产生有害、偏见或不当的输出。这一概念源自对AI系统潜在滥用和误用的担忧，尤其是在这些系统被应用于开放、未经监管的环境时

• 0
• elwood1916 发布于 2024-12-19 09:31

1推荐

1794浏览

jsp解析过程及其trick点

jsp解析过程 tomcat 解析jsp的过程，主要分为以下几个步骤： 客户端发送请求到服务器 服务器接收到请求，并交给servlet容器处理 servlet容器解析jsp文件，并将其转换为java代码 servlet容器编...

• 1
• Q16G 发布于 2024-12-16 09:00