GlassFish-Filter内存马分析目录前言分析FilterFilter内存马获取上下文具体实现前言Glassfish5.0.0分析 glassfish Filter内存马环境搭建HelloFi...
【论文分享】对全球范围DNS-over-HTTPS的性能测量
今天分享的论文主题为DoH性能测量,由来自伊利诺伊大学厄巴纳-香槟分校和斯坦福大学的研究人员共同完成。该论文使用代理网络对DoH和Do53的性能进行了测量,比较了四家公共DoH提供商在各方面的表现。此...
Jeecms内容管理系统漏洞一览
简介JEECMS是基于java技术开发继承其强大、稳定、安全、高效、跨平台等多方面的优点;采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构安全性做得非常...
致远OA thirdpartyController.do Session泄露 任意文件上传漏洞
漏洞描述:致远OA通过发送特殊请求获取session,在通过文件上传接口上传webshell控制服务器网络测绘:title="致远"漏洞复现:流程:首先是构造数据包获取管理cookie值,然后携带co...
某应用虚拟化系统远程代码执行
漏洞简介 微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服...
Java内存马查杀GUI工具
项目地址https://github.com/4ra1n/shell-analyzer注意:请勿在生产环境使用,存在打崩业务的风险,目前适用于自己搭建靶机分析学习介绍关于Java Web内存马查杀的文...
Weblogic 绕waf实战
Part1 前言 最近安服的同事打比赛,给我陆续发了好几个没有拿下来的Weblogic的站点,一直在想尽各种办法研究,争取拿下权限。各种WAF防护、终端防护、不出网、SUID不一致、EXP没回显等等原...
实战|记一次从供应链的未授权访问到重大成果
在某行动期间,参加了同时举行的省级行动。由于两场行动有交集,因此常规的靶标攻克难度很大。故而在靶标中选择了一个非集团的单位进行测试。尝试过在各搜索引擎收集该目标的资产,但由于目标疑似并无互联网资产,导...
PHP开发服务器远程源代码泄露漏洞原理剖析
PHP Built-in Server是PHP自带的Web服务器,多用于在研发阶段快速启动并运行一个可以执行PHP脚本的Web服务器。由于其性能及安全性并没有得到完好的保障,故PHP官方并不建议在生...
实战 | 记一次授权网络攻防演练(上)
作者:yangyangwithgnu原文地址:https://www.freebuf.com/vuls/211842.html完整攻击链大概包括信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移...
【漏洞复现】Weblogic 任意文件上传漏洞(CVE-2018-2894)
漏洞简介事项描述漏洞概述WebLogic 管理端未授权的页面存在任意上传getshell漏洞,可直接获取权限。页面为/ws_utc/begin.do、/ws_utc/config.do影响范围10.3...
黑客帝国最经典的台词
黑客帝国中最激励人的一句话!DO NOT THINK YOU ARE, KNOW YOU ARE! 黑客帝国原文始发于微信公众号(祺印说信安):黑客帝国最经典的台词
6