6.Flask_FileUploadhttps://ctf.bugku.com/challenges/detail/id/204.htmlhttp://114.67.175.224:11209/提示很...
语雀403防盗链解决方法:Python批量转移图片至阿里云oss图床
前言之前写的【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇),我一开始是写在语雀上面的,然后同步github之后才发现,图片居然都无法访问,我再仔细一了解,然后发现原来是语雀在201...
记一次实战代码审计
记一次实战代码审计 某次地级HW过程中遇见的一套系统,其开发语言为Java,通过其同类型系统成功扫到了其备份文件,故有了以下的代码审计过程记录后台任意文件读取 通过全局搜索File ``downloa...
【漏洞通告】Cisco Small Business系列交换机多个高危漏洞
一、漏洞概述Cisco Small Business是思科(Cisco)公司针对中小企业定制化推出的一系列完整解决方案及产品。5月18日,启明星辰VSRC监测到Cisco发布安全公告,修复了Cisco...
炼狱之门:命令执行漏洞解析与应对策略
漏洞原理 命令执行漏洞是指攻击者通过注入恶意命令来执行非预期的操作;简单来说就是没有对用户输入的内容充分的验证或过滤,而直接带入到命令执行函数中当成系统化命令被执行。以Python代码为例,举个简单的...
DDE注入(CSV)漏洞原理及实战案例全汇总
在渗透中遇到导出功能时,会如何进行测试?任意文件下载?或者越权查看?很多人很容易忽略的是DDE注入:导出格式为csv,xls时,或许你可以尝试构造这个漏洞,它不会对网站本身产生危害,但会对终端用户造成...
Binwalk 任意代码执行漏洞原理分析
一、背景介绍 Binwalk是用于搜索给定二进制镜像文件以获取嵌入的文件和代码的工具。具体来说,它被设计用于识别嵌入固件镜像内的文件和代码。Binwalk使用libmagic库,因此它...
【漏洞通告】Palo Alto Networks PAN-OS信息泄露漏洞(CVE-2023-0008)
一、漏洞概述CVE IDCVE-2023-0008发现时间2023-05-11类 型信息泄露等 级中危攻...
python沙箱绕过的一些知识
python程序中有时候过滤了一些命令执行的关键字我们怎么去绕过呢?最原始的方法(python3.7以下可以用魔术方法绕过)python2.7以下:''.__class__.__mro__[-1]._...
2023 D^3CTF writeup by 万年三等奖
HEADER由于预备队W4ntY0u成员也对本次比赛有高度兴趣,故安排其与主队一起以“万年三等奖”作为队名参加了AntCTF x D^3CTF,一方面是为了避免两队都有可能获奖的情况下占用了其他师傅们...
7款最常用的虚拟机软件
1.VMware Workstation Pro功能:支持多种操作系统,包括 Windows、Linux、Mac OS X 等。它提供了高性能的虚拟化环境,并支持多种虚拟机配置选项,如内存、CPU、网...
Redis延迟问题全面排障指南
作者:kevine前言在 Redis 的实际使用过程中,我们经常会面对以下的场景:在 Redis 上执行同样的命令,为什么有时响应很快,有时却很慢;为什么 Redis 执行 GET、SET、DEL 命...
26