中铁13层打工人
记一次代码审计rce测试学习过程
nginxWebUI后台提供执行nginx相关命令的接口,由于权限校验不严谨,未严格对用户的输入过滤,导致3.4.7版本之前可远程执行任意命令。本着学习的态度进一步了解该工具存在的漏洞并进行复现与分析
- 1
- 5
- 中铁13层打工人
- 发布于 2024-06-27 09:00:02
- 阅读 ( 40143 )
通过代码审计某友获取CNVD高危证书
之前跟朋友聊到这个用友系统,说是存在很多漏洞,他审计了几个反序列漏洞的,也都发证书了。 自己也定了一个目标,今年搞几张高危证书,简单讲一下通过代码审计获取高危证书过程。
- 5
- 5
- webqs
- 发布于 2024-06-07 11:16:25
- 阅读 ( 10872 )
webqs
CVE-2024-32002 Git 远程代码执行漏洞分析
Git RCE 漏洞分析:从蛛丝马迹的漏洞分析到RCE
- 7
- 5
- 10cks
- 发布于 2024-05-20 20:11:28
- 阅读 ( 22334 )
10cks
逐影安全
某低代码平台代码审计分析
某次项目中遇到的系统,发现还是开源的,于是就下下来小审一下,从权限绕过到getshell,还是比较有收获。
- 6
- 5
- Qiu_
- 发布于 2024-05-22 09:00:00
- 阅读 ( 9597 )
Qiu_
Toy_Maker
Jeecg-commonController文件上传漏洞分析
朋友整了一个漏洞情报的钉钉机器人,这几天看到了一个最新推送的漏洞Jeecg commonController 文件上传漏洞。说是EXP已公开、但是网上找了一圈没找到,那就自己分析一下吧!
- 1
- 5
- Yu9
- 发布于 2024-04-01 10:00:02
- 阅读 ( 23079 )
Yu9
某云的反序列漏洞及绕过思路分析
最近看到Kingdee星空反序列化漏洞各种各样的接口,本文将分析其漏洞原理及绕过思路,入门学习.NET程序的调试过程。
- 1
- 5
- 中铁13层打工人
- 发布于 2023-12-28 10:00:01
- 阅读 ( 22927 )
新手向某CMS的Java反序列链学习
Github上偶然发现某系统存在Java反序列化漏洞,在编写反序列化链的过程中踩了一些坑,并且这个漏洞最终的触发方式也比较特殊,本文分享一下此过程以及如何利用ysoserial工具完成Java反序列化链payload的编写,初学者通过本文也可以了解一下Java反序列化链的原理。
- 4
- 5
- 中铁13层打工人
- 发布于 2023-11-30 10:00:01
- 阅读 ( 25320 )
AD域票据攻击之增强型金票、钻石&蓝宝石票据
黄金票据和白银票据作为AD域渗透中持久化阶段常用的方法,但是在利用时存在一定的局限性而且容易被检测出来,本文将分享增强型黄金票据如何突破限制以及新一代票据钻石票据和蓝宝石票据如何绕过检测。
- 10
- 5
- 中铁13层打工人
- 发布于 2023-09-27 09:00:01
- 阅读 ( 14754 )
某cms漏洞挖掘分析
某cms漏洞挖掘分析,该系统代码简单,因此注入漏洞发现过程还是挺顺利的,就在index.php的文件中,结果绕过waf稍微有些曲折,特此记录一下学习过程。
- 3
- 5
- 中铁13层打工人
- 发布于 2023-09-25 17:56:20
- 阅读 ( 21016 )
fan
ggg
F1ne