0推荐

8507浏览

CVE-2022-22005 Microsoft Sharepoint RCE

## 简介 SharePoint 是一个用于共享和管理内容、知识和应用程序以支持团队合作、快速查找信息以及在整个组织内无缝协作的平台。超过 200,000 个组织和 1.9 亿人将 SharePoint 用于 Intranet...

• 0
• 带头大哥 发布于 2022-03-10 10:30

1推荐

8463浏览

JAVA 反序列化学习之反射

无论看的是什么文章，只要是学习 JAVA 反序列化的文章，就一定会提到反射机制，这里结合了文档、网上的各种资料、P 牛的 JAVA 安全漫谈，写成了一篇还算过得去的文章，主要内容包含了forName、newInstance、getMethod、invoke方法，以及利用这些方法用反射的方式写出一个执行任意类中的任意方法的代码的学习过程。 但这仅仅是 JAVA 安全的开始，甚至只是 JAVA 安全中一个漏洞的一部分的开始。 道阻且艰。

• 1
• sp4c1ous 发布于 2022-03-03 09:36

2推荐

8008浏览

Django 中的 XFF 问题

# Django 中的 XFF 问题 最近在用 Django 开发限制访问只能通过 127.0.0.1 或者内网地址访问后台的功能，关注到 Django 中存在的 XFF 问题。 文中 [1. 后台访问地址/域名功能] 主要说的是...

• 0
• JOHNSON 发布于 2022-03-03 09:34

3推荐

8866浏览

刚跑的程序又被kill？服务器挖矿病毒解析与修复

疑惑不解，为什么刚提交的程序没跑几分钟就又又又又又被kill掉了？近期服务器中招了挖矿病毒。本文就对该病毒进行了分析，并附上一些解决方案，帮助遇到类似问题的读者进行修复。

• 0
• Pinging 发布于 2022-03-02 09:49

3推荐

24332浏览

JDWP调试接口RCE漏洞介绍

本文介绍了JDWP协议的通信过程以及数据包结构，对JDWP调试接口RCE漏洞的三种漏洞利用方法进行了讲解

• 8
• 好家伙 发布于 2022-02-23 09:48

1推荐

9905浏览

狂雨cms代码审计

狂雨小说内容管理系统（简称KYXSCMS）提供一个轻量级小说网站解决方案，基于ThinkPHP5.1+MySQL的技术开发。 KYXSCMS,灵活，方便，人性化设计简单易用是最大的特色，是快速架设小说类网站首选，...

• 4
• Panacea 发布于 2022-02-21 09:38

1推荐

9593浏览

CC链之新利用链分析

分析使用DualHashBidiMap、DualTreeBidiMap、DualLinkedHashBidiMap类作为触发点来构造新的Commons Collections利用链

• 7
• 好家伙 发布于 2022-02-18 09:39

3推荐

12904浏览

记又一次Java代码审计

这是我的Java代码审计实战的第二篇文章，下面带来一个新的CMS的审计思路和技巧

• 9
• 好家伙 发布于 2022-02-17 09:35

0推荐

11126浏览

GO中SSTI研究

在ByteCTF2021与SCTF2021中，我们都可以看到GO语言下的SSTI的身影，借此机会深入学习一下GO语言下的SSTI，在ByteCTF的WP文档中有相应的链接来介绍GO语言下的SSTI利用方法的研究。

• 0
• sp4c1ous 发布于 2022-02-15 15:54

1推荐

9166浏览

weblogic反序列化漏洞合集

weblogic部分漏洞分析（包括T3和XMLDecoder）

• 1
• moon_flower 发布于 2022-02-10 09:55

0推荐

10387浏览

Metersphere项目安全漏洞概览

最近爆出了一个metersphere的高危漏洞，一方面是对该漏洞的应急响应，另一方面对这个项目的历史漏洞也进行了一些了解和学习，因此写下此文对该项目安全相关的框架，以及几个比较严重的漏洞的原理、利用及修复方法进行分析。

• 0
• 无糖 发布于 2022-02-09 11:16

1推荐

8858浏览

ThinkPHP6.0反序列化链审计与分析

## 前言 科二挂了之后颓废了很久，今天来审计分析复现一下ThinkPHP6.0的几条链子，现在比赛中还是经常出TP框架的题目的，有的时候甚至要自己审链子，非常考验代码审计功底。 开这一块就是...

• 2
• sp4c1ous 发布于 2022-02-07 09:41

0推荐

7877浏览

VMPWN初探-不愿再探

# 前言 VMPWN，从未设计过。通过学习总结出一个约等式：VMPWN约等于逆向。 感觉VMPWN逆向很麻烦，漏洞大多都是一些越界写等。 # 个人对VMPWN的理解 vm程序在程序中模拟出类似于机器...

• 0
• 大能猫 发布于 2022-01-26 10:04

1推荐

8424浏览

wuzhicms的在初次尝试审计

## 前言 在网上漫游发现的一个cms cnvd也是有提交的 也是初次审计这种 官网：https://www.wuzhicms.com/ 现在也已经好像没更新了 也是先看了一会代码 才知道这是MVC的 之前由于也没有...

• 2
• 永安寺 发布于 2022-01-25 09:52

4推荐

10629浏览

浅析JAVA代码审计中的“幽灵代码”

从漏洞挖掘的角度看JAVA的切面、拦截器和过滤器。

• 7
• Alivin 发布于 2022-01-24 10:00