最近抽出一点时间练了一些BUGKU练习平台的MISC题,又学到了一些知识,感觉很好。现在总结一下当时没有立刻做出的、并有的借鉴大佬的题,加深加深自己的做题印象。MISC1(啊哒)本题主要是数据隐藏先看...
关于命令执行Bypass的一些思路
作者:掌控安全-xiao_yi一、常见命令执行的函数system()system(string $command, int &$return_var = ?): string执行系统命令,有回...
Java反序列化基础篇-类加载器
0x01 前言这篇文章/笔记的话,打算从类加载器,双亲委派到代码块的加载顺序这样来讲。最后才是加载字节码。0x02 类加载器及双亲委派说类加载器有些师傅可能没听过,但是说 Java ClassLoad...
【JavaWeb系统代码审计实战】某RBAC管理系统(三)越权,未授权,XSS代码审计
前言本系列为【炼石计划@Java代码审计】知识星球实战50套开源系统删减版,也就是每一套分享部分内容给大家学习。如果觉得写得还不错,并且想要从实践中学习JavaWeb代码审计的朋友,欢迎了解加入【炼石...
远程代码执行、远程命令执行、代码注入 、命令注入 、RCE区别
这里有很多不同的术语,它们的含义都略有不同:远程代码执行远程命令执行代码注入命令注入RCE这些细微的差异很容易弄混,现在有一篇关于它的博客文章,明确地定义了这些差异。命令注入是一种漏洞,允许攻击者将操...
神兵利器——红队知识仓库(建议收藏)
网站导航编码/加密CyberChef:编解码及加密,可本地部署 https://github.com/gchq/CyberChefOK Tools在线工具:https://github.com/wan...
常见中间件——Jboss漏洞复现分析
文章首发于:火线Zone社区(https://zone.huoxian.cn/)JBoss漏洞复现分析JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)漏洞原理该漏洞位于JBos...
【下篇】CVE-2022-26134 Confluence 多种通用型绕过沙箱姿势可实现命令回显
上一篇文章主要对 CVE-2022-26134 Confluence OGNL 表达式注入漏洞进行原理分析,并简单描述了沙箱绕过与命令回显的问题。CVE-2022-26134 Conflue...
从入门到放弃带你深入理解 Apache log4j2 漏洞
Apache log4j2 漏洞(食用需一定Java基础)历史渊源2021年IT圈被爆出的log4j2漏洞闹的沸沸扬扬,log4j2作为一个优秀的java程序日志监控组件,被应用在了各种各...
fastjson 1.2.80版本反序列化漏洞:POC代码及规避方案(20220523)
01漏洞描述fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系...
JNDI注入分析
什么是JNDI JNDI(Java Naming and Directory Interface)是Java提供的Java命名和目录接口。通过调用JNDI的API可以定位资源和其他程序对象。 JNDI...
【Java基础】 - IDEA编译、调试ysoserial
mvn命令打包IDEA图形化打包maven项目IDEA调试yso项目参考链接mvn命令打包项目地址:https://github.com/frohoff/ysoserialgit clone http...
95