环境搭建网络联通性测试发现虚拟机win7可以ping通真实主机,但真实主机无法ping通虚拟机时在虚拟机中的高级防火墙中->启用入站规则->文件和打印机共享(回显请求 - ICMPv4-I...
PHP代码审计-eyoucms
环境搭建:代码审计:1.命令执行漏洞:通过路由找到对应代码这里需要传入三个参数,而最后的content则是我们需要填写的内容,在代码93行处存在过滤发现对content的内容进行了限制。 if (pr...
JDBC任意文件读取漏洞详解
8.0.14 在8.0.14版本下无需进行任何参数设置,可以直接读取任意文件。 8.0.25 无法直接读取任意文件。至少需要设置allowLoadLocalInfile=true参数才可以使用。另外也...
JAVA反序列化-CC1链分析
一、组件介绍ApacheCommons当中有⼀个组件叫做ApacheCommonsCollections,主要封装了Java的Collection(集合)相关类对象,它提供了很多强有⼒的数据结构类型并...
Java漏洞调试—利用Vulhub一键进行docker远程调试
文前漫谈学习漏洞千万步,学会调试第一步。Java Remote Debug 原理简述Java远程调试的原理是两个JVM之间通过Java debug协议JDWP(Java Debug Wire Prot...
查找 .Net 程序集
我从观看 .net 程序集被移动和挖空的经验中知道,不会有命令行参数。我的大部分内容都不会触发。但是,现在它的移动对我来说很重要。从过去的工作中,我知道 Windows 上有许多本机 .Net 程序集...
JAVA反序列化-URLDNS链分析
URLDNS是ysoserial序列化中比较简单的一个链,URLDNS的利用效果是只能触发一次dns请求,而不能去执行命令。比较...
0基础入门代码审计-7 文件上传
0x01 漏洞描述文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种漏洞是getShell最快最直接的方法之一。0x02 审计要点1...
Jdbc反序列化[绕过|修复|分析]
前言此文章主要是对mysql Jdbc驱动连接过程的分析,本次分析使用的mysql-connector-java版本为8.0.14。0x01 jdbc标准流程oracle约束的jdbc建立连接的标准流...
代码审计 | ThinkPHP5.1控制器操作
在ThinkPHP中,控制器是MVC模式中的核心组件之一,负责接收用户请求并处理相应的业务逻辑。在本篇技术博客中,我们将深入探讨ThinkPHP5.1中的控制器操作,包括创建控制器、路由绑定、请求参数...
java代码审计基础学习笔记分享(一)
# 以下内容仅为个人学习小迪安全课程自己记录的笔记,文章仅用于学习交流安全技术使用,因为自己是用obsidian md格式记录,用的在线网址md转公众号文章,所以排版可能有点问题,各位师傅们见谅。Se...
JVMTI 加密字节码详解
0x00 介绍这不是新思路,但网上的文章不够深入和详细,因此有了这篇文章上周偶然看到一篇文章 https://juejin.cn/post/6844903487784894477以及 Git...
306