01 漏洞概况 金蝶EAS存在文件上传漏洞,攻击者通过路径穿越上传恶意文件可执行任意代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称金蝶ScpSupRegHandler文件上传漏洞漏洞编号CVE...
XXL-JOB 深度利用
简介XXL-JOB是一个轻量级分布式任务调度平台,支持通过web页面对任务进行操作,基于Java-spring boot框架开发,利用Maven依赖编译好,开箱即用。前言1、XXL-JOB的默认账号:...
技术文章翻译:PHP标准库中某双链表结构存在双重释放问题(CVE-2016-3132)
技术文章翻译:PHP标准库中某双链表结构存在双重释放问题(CVE-2016-3132) 原文: http://www.libnex.org/blog/doublefreeinstandardphpli...
应用自定义协议(Custom URI Scheme)相关记录
自定义协议的相关问题其实比较古老了,08 年时就已经在 BH 上被提出来,最近因为 Electron 远程代码执行漏洞(CVE-2018-1000006)又一次被提起,借此机会刚好把之前学习的相关内容...
恶意软件模型- 间谍软件
有许多方式可以监视受害者。我们的间谍软件由键盘记录器代表,这是一个简单的程序,可以监视键盘上按下的键,并可以看到你输入的所有内容。这个键盘记录器在keylogger.py文件中实现。原文地址:http...
用友 NC ActionHandlerServlet 反序列化
00漏洞概述用友 NC ActionHandlerServlet 反序列化rce漏洞01空间搜索语法fofaapp="用友-UFIDA-NC"02利用过程登录界ActionHandlerServlet...
漏洞复现 用友 NC actionhandlerservlet 反序列化漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
金蝶云-星空 ScpSupRegHandler任意文件上传
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次...
SpringBoot Thymeleaf模版注入(学习笔记)
前言前段时间我是写过一篇SpringMvc的分发流程的。漏洞复现首先我们来复现一下这个漏洞我这里的环境是Springboot的2.2.0版本。<groupId>org.springfram...
CVE-2023 29357&24955漏洞组合技详细分析
漏洞概要 CVE-2023-29357 是 Microsoft SharePoint Server 中的绕过身份验证漏洞,CVSSv3 评分高达 9.8。漏洞允许未...
Xstream反序列化漏洞
Xstream简介XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。说白了就是我们可以将Java对象转换为XML,也可以将XML字符串转换为Java对象。Xstre...
MSF Webshell 上线
ngrok 内网穿透, 搭配 metasploit 实现 webshell 上线. ngrok.cc 注册账号 开通隧道 类型 tcp 下载客户端 我的是 linux arm 运行 ./sunny c...
13