0 简介 CodeQL是一个帮助开发者自动完成安全检查、帮助安全研究者进行变异分析的分析引擎。它由代码数据库和代码语义分析引擎组成,通过将代码抽象为数据查询表保存到代码数据库中,可以方便地运行代码查询...
11月09日安全开发10 views评论extract
rce
CodeQL数据库构建原理分析
11月09日安全开发10 views评论extract
rce
11月09日安全开发10 views评论extract
rce
MYSQL JDBC反序列化解析
一、JDBC简介 JDBC(Java DataBase Connectivity)是一种用于执行Sql语句的Java Api,即Java数据库连接,是Java语言中用来规范客户端程序如何来访问数据库的...
11月09日12 views评论参数
反序列化
Atlassian Confluence Server (CVE-2023-22518) - 授权不当
CVE-2023-22518是Atlassian Confluence数据中心和服务器中的一个严重漏洞。该漏洞可能允许未经身份验证的攻击者通过网络访问 Confluence 实例来恢复 Conflue...
11月06日132 views评论rce
身份验证
Mysql JDBC反序列化
明天要面试,不想复习啊。之前不怎么学习这个漏洞。但是最近被问了两次,而且后来我发现不同类型数据库的反序列化漏洞还挺多的。看了看资料略写写还算简单。主要是分析反序列化部分,CC链部分不管,mysql协议...
10月26日15 views评论rce
反序列化
Confluence CVE-2023-22515漏洞复现
记一次React Native App报文解密分析过程
No.0前言这次渗透测试的目标APP,抓包发现报文关键数据字段进行了加密处理,要测试接口可能存在的一些安全风险,就需要进行解密后进行篡改测试。所以本文主要记录一下报文加密数据解密的一个分析过程。No....
10月17日33 views评论native
关键字
对 Confluence CVE-2023-22515 的一点分析
0x01 写在前面本篇文章只做分析,不提供可利用 payload上周三,Atlassian 在安全公告日发布了 CVSS 评分为 10分的 CVE-2023-22515, 假期写了篇简陋的复...
10月14日18 views评论action
rce
CVE-2023-22515 Confluence 权限提升漏洞分析
漏洞描述Confluence 是 Atlassian 公司开发的一款团队合作软件,主要用于团队成员共享知识、协作文档和集中存储资料。它广泛应用于各种组织中,不仅是技术团队,还有其他任何需要文档合作或知...
10月13日85 views评论rce
源码
JDBC反序列化实战
前言:项目中遇到一个JDBC反序列化的点,和同学交流之后也是拿下了这个点,记录一下也是对这个加深一下印象。至于什么是JDBC反序列化可以自行去了解,该文章只是提供一下打的思路。特征点:获取一个弱口令进...
05月23日33 views评论intercept
反序列化
MYSQL JDBC反序列化解析
一、JDBC简介 JDBC(Java DataBase Connectivity)是一种用于执行Sql语句的Java Api,即Java数据库连接,是Java语言中用来规范客户端程序如何来访问数据库的...
04月26日26 views评论intercept
rce
从JDBC attack到detectCustomCollations利用范围扩展
出品|先知社区(ID:RoboTerh)声明以下内容,来自先知社区的RoboTerh作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及...
02月21日13 views评论attack
auto
内存马学习之SpringBoot Interceptor内存马
0x01 前言内存马系列他又来了,之前就分析过了,一直没有记笔记,可能很多大佬都学过了,并不是为了重复造轮子,只是为了能搞懂轮子的结构,如果以后轮子坏了,也可以自己修,写的不好的地方多多包涵。0x02...
10月18日63 views评论servlet
spring
3