声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。一个上传头像功能点,尝试绕过后缀检测均未成功。看到typefileTypebreach,根据以往渗透测试经...
Java代码审计初试
免杀是同所有的检测手段的对抗,目前免杀的思路比较多。本篇介绍了一个独特的思路,通过内存解密恶意代码执行,解决了内存中恶意代码特征的检测。同时提出了one click来反沙箱的思路,阐述了一些混淆反编译...
工具 | 看我如何开发挖掘src工具
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途! 公众号现在只对常读和星标的公众号才展示大图推送, 建议大家把 明暗安全 设为星标,否则可能就看不到啦! 1.漏洞背景 前些日子...
[漏洞复现] CVE-2023-47473 企语iFair协同管理系统 任意文件读取
本人非原创漏洞作者,文章仅作为知识分享用 一切直接或间接由于本文所造成的后果与本人无关 如有侵权,联系删除 产品简介 企语iFair协同管理系统是一款专业的协同办公软件,该管理系统兼容性强,适合多种企...
信息收集之巧用浏览器
搜索引擎是我们今天离不开的一款工具。你可知道吗?他却是我们最容易上手的安全工具之一。看似简单的搜索框,却暗藏玄机。在搜索时,我们除了输入关键词进行搜索外。还有各种搜索语法,因为借助搜索语法,我们可以收...
挖洞小思路(参考)
0.前言由于都是发自己的文章,所以也不会有那么多的内容发布,一周可能也就更新个两篇,如果工作忙,可能一周就一篇,但是文章都会很细致,暂时只更新学习笔记,至于挖洞思路,小菜鸟还不配。0.1.免责声明传播...
宏景任意文件上传漏洞
漏洞简介宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。该软件存在任意文件上传漏洞,漏洞点位于OfficeServer.jsp文件,攻击者...
谷歌搜索语法
00前言搜索引擎的英文为search engine。搜索引擎是一个对互联网信息资源进行搜索整理和分类,并储存在网络数据库中供用户查询的系统,包括信息搜集、信息分类、用户查询三部分。人们可以利用搜索引擎...
补丁分析
门户模板文件上传漏洞补丁补丁编号:220800-S006下载补丁,对比文件 ...
干货 | 赏金猎人之Google Dorking语法总结
Google Dorking非常强大,但人们不喜欢在他们的工作流程中普遍使用它。任何有经验的赏金猎人都会告诉你,这是了解系统的最快方法之一。什么是Google Dorking?Google Dorki...
来点干货!Google Hacking 语法超全总结
1Google Hacking概述Google Hacking是指使用Google、百度等搜索引擎对某些特定网站主机漏洞进行搜索,以达到快速找到漏洞主机或特定主机的漏洞的目的。对于渗透人员而言,它Go...
JAVA文件上传漏洞防御
通过 String fileType = fileItem.getName().substring(i+1);获取到后缀,并使用equals进行限制。@WebServlet("/uploads")pu...