1、根据官网教程https://www.kancloud.cn/hkcms/hkcms_tp6/2252603 选择phpstudy进行搭建hkcms,2、安装phpStudy下载地址:https:/...
插件前台任意文件读取漏洞复现与分析 (CVE-2025-2294)
1. 漏洞概述 漏洞名称: WordPress Kubio AI Page Builder 插件 本地文件包含 (LFI) 漏洞 CVE ID: CVE-2025-2294 影响范围: Kubio A...
JavaWeb代码审计实战开源系统学习心得
你好朋友欢迎来到炼石计划之JavaWeb代码审计炼石计划,已进入第三阶段50套JavaWeb系统实战代码审计之第四套:进销存系统第五套:若依管理系统某版本第六套:任务调度系统火热进行中...(文末获取...
实战某凤网站导致的代码审计
0.前言 这篇文章很早就写了,因为涉及0day不想影响太大,于是就想等作者修了再发。现在漏洞已经公开了,作者也修了,就发出来吧。https://xz.aliyun.com/news/182151.前台...
【0day】泛微OA前台登录绕过+后台组合拳RCE
0x01 登录绕过 利用/dwr/call接口读取加密key POST /dwr/call/plaincall/?callCount=1&c0-id=1&c0-scrip...
广联达远程代码执行代码审计
0x00 前言免责声明:继续阅读文章视为您已同意[NOVASEC免责声明].10x01 审计正文先来到m目录下,查看web.config文件,代码如下:根据type字段来找代码在dll中对应的位置,在...
java agent 学习
本文由掌控安全学院 - yusi 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) Java Agent 介绍 Java Agent 是一种特殊的...
KYXSCMS 灰盒测试
KYXSCMS 灰盒测试1前言 狂雨小说CMS是一个基于TP5.1.33框架的小说内容管理系统。缩写为KYXSCMS。灵活,方便,人性化设计简单易用是最大的特色,是快速架设小说类网站首选,只需5...
【代码审计】某产品UserCreateService存在任意用户添加漏洞分析
代码分析该系统采用shiro进行权限控制,其中/api/接口无需鉴权发现存在addUserCreateService方法可添加用户,路由为/api/personSeal/UserCreateServi...
记一次难忘的net直播审计
前言 去年7月的时候,有学员问深情哥asp怎么审计,刚好他有源码,于是带着审计一下看看。至于为什么是难忘的审计,大家看文章后面就知道了准备过程然后带着几个学员一起直播看了看这个源码。net的源码得反编...
Java 安全 | JBossInterceptors1 & JavassistWeld1 链
JBossInterceptors1 & JavassistWeld1 链前言分析前置知识调用栈分析实例图 (分析成员属性)链路分析org.jboss.interceptor.proxy.In...
Java代码审计第七章-任意文件上传漏洞(上)
定义 任意文件上传漏洞是Web应用中的高危漏洞,攻击者通过绕过文件类型检测机制,将恶意脚本(如WebShell)上传至服务器。该漏洞的本质是文件上传操作未规范校验文件类型,导致检测功能被...