fastjson反序列化已经是近几年继Struts2漏洞后,最受安全人员欢迎而开发人员抱怨的一个漏洞了。目前分析Fastjson漏洞的文章很多,每次分析文章出来后,都是过一眼就扔一边了。正好最近在学习...
ysoserial分析之FileUpload1利用链
0x01 前言本次漏洞,感觉涉及的知识点不是特别多,只是当作学习笔记,感兴趣的童鞋可以看一看,写得不好的地方,大佬们多多包涵。0x02 漏洞分析01 漏洞分析本漏洞较为简单,所以我自己写了个测试dem...
【技术分享】fireShellCTF 2019 RE&PWN
PWNleakless这题就是一个简单的栈溢出,有puts,依次泄露libc版本,getshell即可不过做题时有点问题,本地成功,远程没有回显,看到这题叫leakless,感觉事情不太对劲然而换了题...
web攻击
web攻击前言《Python黑帽子:黑客与渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。书是比较老了,anyway,还是本很好的书本篇是第5章web攻击,包括...
SSTI靶场WP
SSTI靶场WPpayload主要有两种形式:一种是获取os来执行命令{{''.__class__.__mro__[-1].__subclasses__()[117].__init__.__globa...
官方WP | 2021春秋杯新年欢乐赛(1)
“春秋杯”新年欢乐赛官方Writeup终终终终终于来啦!各位师傅久等了 话不多说 赶紧学起来~* 指南:本篇共包含{签到、十二宫的挑衅、按F注入、borrow time}4道题目的官方WP,还补充了部...
xray子域名扫描结果导出
介绍众所周知xray是可以进行子域名爆破、查询的,但是导出来的是html,不利于我部署自动化任务而且出来的结果,有的是类似泛解析一样的,比如访问a网页会跳转到c网页,访问b网页也会跳转到c网页,c网页...
通达OA任意文件删除+文件上传漏洞复现
环境搭建通达OA V11.6 下载地址https://pan.baidu.com/s/1rTnsKtiB5HDvzp4FoKdMFw 提取码:Mo60然后进行安装即可访问使用默认账号admin 空密码...
第二届广东省大学生CTF Writeup
点击上方“蓝字”,关注更多精彩第二届广东省大学生CTF Writeup涛哥在学校打的最后一场CTF,很精彩的一次比赛,但是最后还差一点打进决赛很可惜,放一张图纪念下。Webeasy_ctf如图,我的...
基于深度学习的恶意软件分类器
本文为看雪论坛优秀文章看雪论坛作者ID:1900一前言1、实验内容参考论文:IMCFN: Image-based Malware Classification using Fine-tuned Con...
【安全记录】使用CAS实现SSO单点登录
1. 前言2. 相关知识介绍2.1 SSO概述2.2 CAS介绍3. CAS服务端安装部署4. CAS 服务端配置5. CAS 客户端编写配置5.1 客户端15.2 客户端26. 效果演示7. 总结8...
Apache CouchDB epmd 远程命令执行漏洞 CVE-2022-24706
漏洞描述Apache CouchDB 是一个开源的无缝多主同步数据库,使用直观的HTTP/JSON API,并为可靠性而设计。4月26日,Apache发布安全公告,公开了Apache CouchDB中...
36