前言起因是因为工位旁边的“帅比”同事写内存马的时候挠头搞环境,实在看不下去了。让他用我的靶机他就是不听。直接拿我之前写的漏洞靶场演示一波。欢迎大家来star一下https://github.com/t...
代码审计系列第二节——SQL注入
通过第一节给大家简单介绍了一下代码审计简单使用,那么第二节,我们来介绍一下,利用工具和手工进行漏洞挖掘。为了大家能对sql注入有更好的学习和收获。推荐大家几个学习php基础的网站Imooc.com h...
PHP反序列化字符逃逸详解
原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬PHP反...
Fastjson回显
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...
代码审计 | 命令注入和代码注入
0x01 命令注入在开发过程中,开发人员可能需要对系统文件进行移动、删除或者执行一些系统命令,这时如果执行的命令用户可控,就会导致命令执行漏洞。1、示例当命令可控时,就可能会导致命令注入,例如以下代码...
教你如何使用Python向手机发送通知
来自公众号:Python实用宝典你曾想尝试在服务器端或电脑上向手机发送通知吗?你曾烦恼过企业邮箱的群发通知会触发防骚扰机制吗?现在,我们可以用一种简单轻松的方法来代替企业邮箱进行通知了!进行以下的实验...
【创宇小课堂】代码审计-ysoserial-C3P0分析
介绍C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate、Spring等。基础使用先看看ysoseria...
静态代码扫描能干什么
静态代码扫描因为只能扫描特定结构的代码,且函数中的变量来源未知,导致误报率很高的。这种情况下的扫描 其实和正则没什么区别了。所以 就以AST来说 好像只能干以下的事情:合规加密解密算法是否接入sso是...
漏洞盒子自动提交脚本(白嫖)
高质量的安全文章,安全offer面试经验分享尽在 # 掌控安全EDU #作者:掌控安全-劲夫漏洞盒子自动提交脚本文件的大致作用如图前期的环境配置这一段是后面加的,压缩包里面多了一个librays.tx...
Concrete CMS漏洞(第 1 部分 - RCE)
点击上方蓝字“Ots安全”一起玩耍介绍Concrete CMS 旨在为具有最少技术技能的用户提供易用性。它使用户能够直接从页面编辑站点内容。它为每个页面提供版本管理,类似于维基软件,另一种类型的网站开...
企业安全体系架构分析:开发安全架构之防CC攻击脚本编写
今天想分享一下安全脚本的编写,以防CC脚本举个例子。事情是这样发生的,由于商业竞争热烈,不免有些公司会出现恶意竞争的现象,其实CC攻击算是最简单实施的一种DDoS类别攻击吧,在之前我所在的公司就遭受了...
代码审计 | opensns代码审计复现
前言申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!本文来自N1cE师傅的投稿,在此表示由衷的感谢。作者寄语:由于本周也是在补天公众号看到了(moonv)这位师傅的代码审计文章...
306