【代码审计】 一次新手级别入门的代码审计
其实这个应该有挺多洞的,文件总体来说也不大,我这php也是班门弄斧,边审计边学习,刚好在cnvd看到的,正好来练练手。希望各位师傅们共同学习,共同进步!
- 1
- 6
- L4zily
- 发布于 2021-04-21 17:48:36
- 阅读 ( 7757 )
L4zily
突破浅层测试桎梏:多维度漏洞挖掘突破与实践探索
刚入门漏洞挖掘的新手常陷入浅层测试困境,仅验证基础功能点。本文整合了其他优秀师傅分享的思路与笔者实践经验,萃取其中精华,旨在拓宽读者挖掘视角。这些分散的优质思路此前缺乏系统归纳 我将一部分优化思路汇总,期望实现思路价值的叠加效应。
- 7
- 5
- 一天要喝八杯水
- 发布于 2025-05-14 09:00:00
- 阅读 ( 1196 )
一天要喝八杯水
拆解大模型“越狱”攻击:对抗样本如何撕开AI安全护栏?
本文系统拆解大模型面临的越狱攻击技术,揭示攻击者如何通过巧妙设计突破AI安全限制
- 5
- 5
- Werqy3
- 发布于 2025-04-14 10:08:47
- 阅读 ( 2879 )
Werqy3
【2024补天白帽黑客大会】金融业蓝军自动化能力体系建设探索
演讲议题:金融业蓝军自动化能力体系建设探索
- 1
- 5
- 奇安信攻防社区
- 发布于 2024-10-25 11:32:53
- 阅读 ( 2337 )
奇安信攻防社区
阿斯特
记一次前端断点调试到管理员登陆
差点shell,可惜条件不允许。实战总是差点shell的火候,真是令人痛心呐痛心。 发现前端漏洞 This is a 靶标,出于保密原因我就不上图了,长得非常泛微。 一般看到这种一眼通用的系统我都会直接...
- 5
- 5
- 阿斯特
- 发布于 2024-08-07 09:00:00
- 阅读 ( 4368 )
中铁13层打工人
通过代码审计某友获取CNVD高危证书
之前跟朋友聊到这个用友系统,说是存在很多漏洞,他审计了几个反序列漏洞的,也都发证书了。 自己也定了一个目标,今年搞几张高危证书,简单讲一下通过代码审计获取高危证书过程。
- 5
- 5
- webqs
- 发布于 2024-06-07 11:16:25
- 阅读 ( 5926 )
CVE-2024-32002 Git 远程代码执行漏洞分析
Git RCE 漏洞分析:从蛛丝马迹的漏洞分析到RCE
- 7
- 5
- 10cks
- 发布于 2024-05-20 20:11:28
- 阅读 ( 17197 )
10cks
小惜渗透
某低代码平台代码审计分析
某次项目中遇到的系统,发现还是开源的,于是就下下来小审一下,从权限绕过到getshell,还是比较有收获。
- 5
- 5
- Qiu_
- 发布于 2024-05-22 09:00:00
- 阅读 ( 5080 )
Qiu_
若依最新版后台RCE
若依定时任务的实现是通过反射调来调用目标类,目标类的类名可控导致rce。在版本迭代中增加了黑白名单来防御,但仍然可绕过!
- 5
- 5
- Yu9
- 发布于 2024-03-14 09:00:01
- 阅读 ( 33055 )
Yu9
某云的反序列漏洞及绕过思路分析
最近看到Kingdee星空反序列化漏洞各种各样的接口,本文将分析其漏洞原理及绕过思路,入门学习.NET程序的调试过程。
- 1
- 5
- 中铁13层打工人
- 发布于 2023-12-28 10:00:01
- 阅读 ( 18794 )
新手向某CMS的Java反序列链学习
Github上偶然发现某系统存在Java反序列化漏洞,在编写反序列化链的过程中踩了一些坑,并且这个漏洞最终的触发方式也比较特殊,本文分享一下此过程以及如何利用ysoserial工具完成Java反序列化链payload的编写,初学者通过本文也可以了解一下Java反序列化链的原理。
- 4
- 5
- 中铁13层打工人
- 发布于 2023-11-30 10:00:01
- 阅读 ( 22087 )
AD域票据攻击之增强型金票、钻石&蓝宝石票据
黄金票据和白银票据作为AD域渗透中持久化阶段常用的方法,但是在利用时存在一定的局限性而且容易被检测出来,本文将分享增强型黄金票据如何突破限制以及新一代票据钻石票据和蓝宝石票据如何绕过检测。
- 10
- 5
- 中铁13层打工人
- 发布于 2023-09-27 09:00:01
- 阅读 ( 10167 )