【技术分享】PHP代码审计一条龙思路
01前言最近也是边挖src边审计代码,总结下最近的php代码审计的一些思路,我一般按照顺序往下做,限于能力水平,可能会有不对或者欠缺的地方,希望各位师傅能够指导。 02前期工作,...
Java代码审计:反序列化
1 反序列化漏洞 反序列漏洞,当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码...
Java代码审计:路径穿越
1 路径穿越漏洞 路径穿越(目录遍历), 应用系统在处理下载文件时未对文件进行过滤,系统后台程序程序中如果不能正确地过滤客户端提交的../和./之类的目录...
代码审计:AKun Wallpaper实战分析
0x00 前言萌新博主前一段时间一不小心发现了一个漏洞并获取了一个CVE编号,高兴了好一阵子。于是本萌新就想学习一下代码审计,挖一点CVE来玩一玩。最终选择了《代码审计——企业级Web代码安全架构》作...
CVE-2019-9081 Laravel5.7 反序列化 RCE复现
本文为看雪论坛优秀文章 看雪论坛作者ID:H3h3QAQ 1 漏洞简介 Laravel Framework 5.7.x版本中的Illuminate组件存在反序列化漏洞,远程攻击者可利用该漏洞执行代码。...
关于我学渗透的那档子事之Java反序列化-CB链
前言java反序列化cb链大家应该都玩过,我当初是通过看shiro无依赖了解到的,最近在重学基础,就手把手一点一点调试一遍。记得11月份自我反思之后,认为自己渗透的学习深度广度都太差,对漏洞的学习只是...
【创宇小课堂】JAVA代码审计-MVC入门
1、M:模型层,完成具体的业务操作,如查询数据库,分装对象2、V:视图层,JSP展示数据的3、C:控制层,用于获取用户的输入,调用模型,将数据交给视图进行展示解决IDEA导入maven过慢的办法,在创...
Java代码审计:远程代码执行
1 RCE漏洞RCE (Remote Code Execution), 远程代码执行漏洞,这里包含两种类型漏洞:命令注入(Command Injection),在某种开发需求中,需要引入对系统本地命令...
对某 DedeCMS 二开系统全局变量追加漏洞利用
本文纯属虚构,网站皆为本地靶场。我写文章总是喜欢带着我的个人感情,去记录我尝试过的失败和踩过的坑,最开始写文章都是为了自己日后方便想起更多的细节和当时脑子里的想法,所以总是那么的啰啰嗦嗦,嫌长的可以直...
Java安全反射利用-1
Java反射简介 在Java中反射机制是指在运行状态中,对任意一个类都能够动态的知道这个类所有的属性和方法,并且能够调用任意一个对象里面的任意一个方法;这种动态获取信息以及动态调用对象方法的...
漫谈PHP反汇编器/反编译器
在HVV期间同事提出ionCube保护PHP源码比较结实,研究了一下。ionCube 7.x处理过的some_enc.php不含原始some.php,只有混淆过的opcode。逆向工程技术路线必须分两...
127