FOFA语法:app="APACHE-Superset"POC代码:from flask_unsign import sessionimport requestsimport urllib3impor...
用python写一款FTP自动化的脚本
使用Python的ftplib库进行FTP文件下载和上传的完整指南 免责声明写在前面:内容仅用于学习交流使...
聊聊威胁狩猎
概述威胁狩猎是在大数据中反复检索那些逃避传统安全设备的攻击手法,旨在发现未知威胁。大致流程如下:收集数据 - 建立假设 - 工具分析 - 丰富威胁上下文 - 分析自动化威胁狩猎是一个主动的行为。之前团...
CVE-2017-8046 Spring Data REST命令执行漏洞分析
漏洞简介简要说明该漏洞是由于“Spring表达式语言”Spring Expression Language (SpEL) 导致的问题。漏洞原因可以归属于“表达式注入”。影响版本Spring Data ...
原创 | CodeQL与AST之间联系
点击蓝字关注我们前言Part 1为什么要学习Java抽象语法树呢?在计算机科学中,抽象语法树(abstract syntax tree 或者缩写为 AST),或者语法树(synta...
java代码审计-SpEL表达式注入
0x01 前言Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于Unified EL,但提供了更多的特性,特别...
漏洞复现 CVE-2016-5734 phpMyAdmin远程代码执行
0x01 漏洞描述 phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在其查找并替换字符串功能中,将用户输入的信息拼接进preg_re...
SOAP IP网络对讲设备审计
0x00 前言在校园实战环境中有概率碰见这套IP网络对讲设备系统 从而达到渗透目标.Fofadock:"vendors/toastr-master/build/toastr.min.js"0x01 前...
日志分析三神器 【附下载链接】
一般来说,安全性日志都会有成千上万条,若不能想要分析的时间段,要以人工方式一一查看,那是一件很痛苦的事情。若能采用视觉化图形显示方式进行分析,比如通过excel或者html,再就重点事件排查,才是事半...
PHP反混淆实战 | 手把手带你入门PHP-Parser
1 什么是PHP-Parser ? PHP-Parser是由Nikic开发的一款...
Brupsuite插件验证码自动爆破
Brupsuite插件--验证码自动爆破今天在测试时遇到一个网站需要进入后台,但是在登陆处设置了验证码,正好之前看到个文章有一款brup插件可以识别验证码并进行爆破,所以安装学习了一下。安装项目地址:...
CVE-2023-23924 通过 `phar` URL 包装器在 PHP < 8 上反序列化任意对象
Dompdf 是一个 HTML 到 PDF 的转换器。<image>通过传递带有大写字母的标签,可以在 SVG 解析时绕过 dompdf 2.0.1 上的 URI 验证。这可能会导致通过p...
7