0X0 前言 文件上传获取服务器权限,一般分为黑名单,以及白名单上传至于是否解析这就是后话了,其中黑名单,见名知其意不允许上传的文件后缀,主要表现于服务器不允许上传在黑名单数组内的后缀文件,主要探测手...
07月04日20 views评论服务器
白名单
一次白名单绕过分析
07月04日20 views评论服务器
白名单
07月04日20 views评论服务器
白名单
护网hvv 2023某大厂二面review
仅参考,答案自行斟酌 一、内存马你怎么查杀 如果发现了一些内存webshell的痕迹,需要有一个排查的思路来进行跟踪和分析,也是根据各类型的原理, 列出一个排查思路—— 1、如果是jsp注入,日志中排...
07月03日安全职场77 views评论shiro
加密
base64的天坑
base64编码补位的坑,导致数据验证被绕过,也绕过了系统黑名单的检测。背景突然,测试人员找上我,说篡改某对象ID的值会绕过系统的黑名单检测!我非常不相信,因为该对象ID生成有随机因素,而且它的校验也...
06月16日CTF专场22 views评论origin
黑名单
hw面试
黑名单绕过 -- Ruoyi-All(若依)
一、工具介绍 前几天审的若依的后台定时任务黑名单绕过漏洞,整合了一个小工具,提供了几个功能: 1、低版本直接snakeyaml rce 2、高版本利用jdbcTemplate执行sql语句,在 。师傅...
05月31日165 views评论rce
sql语句
AI换脸诈骗猛增;黑白名单优缺点及实践 | FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 214期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您...
05月29日22 views评论恶意软件
白名单
Weblogic安全漫谈(四)
黑名单机制必然会推动两种研究方向的发展:一是挖掘不在黑名单的新组件,是为绕过规则;二是发掘检查的盲区,是为绕过逻辑。CVE-2020-14756二次反序列化具有对抗检查逻辑的天生丽质,在CVE-201...
04月17日30 views评论方法
黑名单
实战|文件上传绕过的一次思路总结学习(两个上传点组合Getshell)
这是朋友的一个渗透测试的项目,有个上传的黑名单,我就试了一下,本文章是一边测试一边记录的,对于一些知识点总结的不全,只是提供了一个渗透中碰到上传的思路,文章无排版,是笔记的形式做记录。一丶测试上传正常...
03月19日39 views实战|文件上传绕过的一次思路总结学习(两个上传点组合Getshell)已关闭评论文件名
黑名单
8个WAF绕过
名称: Cloudflare 有效负载: <a/href=Java%0a%0d%09script:alert()>click 绕过技术:数字字符编码 名...
03月18日31 views评论技术
黑名单
为WAF黑名单中的IP设置过期时间
IP地址总是具有时效性,彼时的恶意IP过一段时间后,或许便会变成正常的IP;及时删除黑名单中的IP可以减少误拦截、释放资源、降低维护成本。谢谢小石、LzSkyline、柚子的见解,收获很多。什么时候删...
03月14日53 views评论WAF黑名单
黑名单
文件上传漏洞总结
漏洞介绍 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。一般都是指“上传Web脚本能够被服务器解析”的问题。 漏洞详解 我们的测试平台:upload_l...
03月12日38 views文件上传漏洞总结已关闭评论action
SecIN安全技术社区
PHP代码审计-某cms逻辑漏洞导致getshell
文章首发在:奇安信攻防社区https://forum.butian.net/share/2142前言 如果存在exec进行拼接的漏洞,该如何绕过 <mark>一黑俩匹配 &...
02月28日37 views评论getshell
代码审计
8