1推荐

6653浏览

CC链之新利用链分析

分析使用DualHashBidiMap、DualTreeBidiMap、DualLinkedHashBidiMap类作为触发点来构造新的Commons Collections利用链

7
好家伙发布于 2022-02-18 09:39

3推荐

9028浏览

记又一次Java代码审计

这是我的Java代码审计实战的第二篇文章，下面带来一个新的CMS的审计思路和技巧

7
好家伙发布于 2022-02-17 09:35

0推荐

7632浏览

GO中SSTI研究

在ByteCTF2021与SCTF2021中，我们都可以看到GO语言下的SSTI的身影，借此机会深入学习一下GO语言下的SSTI，在ByteCTF的WP文档中有相应的链接来介绍GO语言下的SSTI利用方法的研究。

0
sp4c1ous 发布于 2022-02-15 15:54

1推荐

6418浏览

weblogic反序列化漏洞合集

weblogic部分漏洞分析（包括T3和XMLDecoder）

1
moon_flower 发布于 2022-02-10 09:55

0推荐

7634浏览

Metersphere项目安全漏洞概览

最近爆出了一个metersphere的高危漏洞，一方面是对该漏洞的应急响应，另一方面对这个项目的历史漏洞也进行了一些了解和学习，因此写下此文对该项目安全相关的框架，以及几个比较严重的漏洞的原理、利用及修复方法进行分析。

0
无糖发布于 2022-02-09 11:16

1推荐

5879浏览

ThinkPHP6.0反序列化链审计与分析

## 前言科二挂了之后颓废了很久，今天来审计分析复现一下ThinkPHP6.0的几条链子，现在比赛中还是经常出TP框架的题目的，有的时候甚至要自己审链子，非常考验代码审计功底。开这一块就是...

2
sp4c1ous 发布于 2022-02-07 09:41

0推荐

5355浏览

VMPWN初探-不愿再探

# 前言 VMPWN，从未设计过。通过学习总结出一个约等式：VMPWN约等于逆向。感觉VMPWN逆向很麻烦，漏洞大多都是一些越界写等。 # 个人对VMPWN的理解 vm程序在程序中模拟出类似于机器...

0
大能猫发布于 2022-01-26 10:04

1推荐

5772浏览

wuzhicms的在初次尝试审计

## 前言在网上漫游发现的一个cms cnvd也是有提交的也是初次审计这种官网：https://www.wuzhicms.com/ 现在也已经好像没更新了也是先看了一会代码才知道这是MVC的之前由于也没有...

2
永安寺发布于 2022-01-25 09:52

4推荐

7564浏览

浅析JAVA代码审计中的“幽灵代码”

从漏洞挖掘的角度看JAVA的切面、拦截器和过滤器。

6
Alivin 发布于 2022-01-24 10:00

3推荐

7070浏览

某国外cms代码审计

最近发现无聊的时候发现这个cms有个上传洞，于是心血来潮的审计了一下，整体技术含量不是特别大，代码审计初学者也可以学习一下

1
ZAC安全发布于 2022-01-20 11:40

0推荐

6304浏览

骑士CMS模版注入+文件包含getshell漏洞复现

#一、骑士CMS简介骑士人才系统,是一项基于 PHP+MYSQL 为核心开发的一套免费+开源专业人才招聘系统，使用了ThinkPHP框架（3.2.3）；由太原迅易科技有限公司于2009年正式推出。为个人求职和企...

1
天禧信安发布于 2022-01-20 11:40

0推荐

7021浏览

WebSphere中间件总结

WebSphere中间件环境搭建以及漏洞复现，还包含实战中遇到的情况

1
YLion. 发布于 2022-01-20 11:33

4推荐

15697浏览

由log4j攻击事件到泛微OA任意文件上传漏洞分析

前段时间log4j远程代码执行漏洞可谓是掀起了一股浪潮，伴随而来的是接踵而来的应急，那天被客户一个电话紧急叫走了，到了现场查看了我司的流量设备，果不其然，捕获的攻击事件数据包显示已经被成功利用了。紧接着就是一系列的应急流程，通过公开的exp帮助客户检查了所有的资产，并协助其升级为了RC2版本。

5
苏苏的五彩棒发布于 2022-01-18 14:13

0推荐

8890浏览

taocms审计

在Github凑巧看到了这个cms，看了看还有在更新的，看了关闭的issue，都是已经修复过的漏洞，就来分析分析。

0
苏苏的五彩棒发布于 2022-01-18 14:13

3推荐

5315浏览

白话分析之 fastjson 全系列补丁情况bypass源码分析（一）1.2.25-1.2.42系列

最近也是在系统的学习fastjson反序列化，本文白话式的分析了 1.2.42>fastjson>1.2.24版本后的补丁情况源码分析以及bypass手段，适合java安全初学者阅读

1
gaowei 发布于 2022-01-18 09:42