一道CTF来审计学习PHP对象注入 代码审计

一道CTF来审计学习PHP对象注入

前言从一道CTF来审计学习PHP对象注入,由功能的分析到漏洞的探测、分析和利用。考点PHP对象注入、代码审计、序列化分析信息收集题目上来给了一个文件上传的服务,没有直接去测试,对网站进行敏感信息收集,...
阅读全文
米酷cms代审记录 代码审计

米酷cms代审记录

一、前言米酷cms是一套用户视频搭建的cms,源码中存在大量sql注入,选了两处进行记录其余过程原理和过程都一样就不记录了。二、注册处SQL注入漏洞位置:ucenterreg.php,第1~18行。系...
阅读全文
绕过AMSI进行逃避审计 代码审计

绕过AMSI进行逃避审计

在之前的文章,hook rdp对外连接的账号密码 中有提到利用Detours进行hook得到rdp的账号密码,今天正好看到绕过AMSI的文章,那我们今天继续利用这个库来达到绕过AMSI的目的。1、AM...
阅读全文
原创 | Java安全之CC4链 代码审计

原创 | Java安全之CC4链

点击上方蓝字 关注我吧0x00 前言继续来分析一波CC4的链,在写该文前,看到网上大部分的文章都只给了一个调用链和POC。其实看CC4调用链的时候,能看出来CC4的调用链用到的也是前面的一些类去构造,...
阅读全文
看我们如何换个姿势把玩禅道 代码审计

看我们如何换个姿势把玩禅道

0x01:背景近期,结合实际工作需要,对禅道项目管理系统进行了一些分析和研究,通过分析存在漏洞的代码,经过分析与实践,我们发现了一种在我们认知中相对更快捷利用相关漏洞的绕过姿势。借此机会与大家分享分享...
阅读全文
Windows操作系统基线核查 代码审计

Windows操作系统基线核查

一、身份鉴别1.1应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换对用户进行鉴别也就是登录时需要你输入用户名、口令的行为。针对本地登录,使用Win+R组合键打...
阅读全文
我是怎么挖掘yii2反序列化0day的 代码审计

我是怎么挖掘yii2反序列化0day的

🐻弟们,又到周末了,是时候给大家整活儿了放心,这次不是在线吹牛环节,咱们还是得偶尔换换口味整整硬菜嘛话说周五我们小组团建结束,我扶着地铁回到了我温暖的小窝一进屋,这该死的令人陶醉的氛围就让我丢盔卸甲,...
阅读全文