点击上方公众号关注我们建议大家把公众号“网安探索队”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。0x...
用友U8 CRM import.php文件上传致RCE漏洞
漏洞简述 用友CRM系统客户关系管理的第一需求就是对客户资源的集中管理,即为客户资源的企业化管理,可以避免因业务调整或人员变动造成的客户资源流失和客户管理盲区的产生;更重要是可以基于客户状况来归集相关...
2019国赛西南赛区部分WEB WP
2019国赛西南赛区部分WEB WP 前言 国赛区域赛打完了,太菜了,就当公费旅游了。趁这几天有空复现了一下几道题。 day1 划水并且上别人的车。源码忘了拷,血亏。只做出一道yml反序列化的题,还是...
2018年巅峰极客 Web部分writeup
A simple cms writeup 做此题之前刚好做了一道原题,比赛的时候是做到最后一步的,但是出了差错没有出flag,很气。 首先,打开连接,发现是onethink1.0框架。搜索该框架的漏洞...
[Hacker101靶场] Mobile Webdev[moderate]
本文章仅用于网络安全研究学习,请勿使用相关技术进行违法犯罪活动。简介:Hacker101是世界上最大的赏金猎人网站Hackerone的教程靶场。知识点:文件上传、zip目录穿越这是一个android靶...
[Hacker101靶场] Y2FuIHlvdSByZWNvbj8[moderate]
本文章仅用于网络安全研究学习,请勿使用相关技术进行违法犯罪活动。简介:Hacker101是世界上最大的赏金猎人网站Hackerone的教程靶场。知识点:文件上传靶场主页如下,可以上传文件。对目录进行扫...
用友U8+ CRM存在import.php文件上传漏洞
1漏洞描述用友U8客户关系管理全面解决方案是基于中国企业最佳营销管理实践,更符合中国企业营销管理特点,客户关系管理的整合营销平台。用友crm import.php接口存在任意文件读取漏洞...
应急响应之linux 排查
最近发现一个不错的在线靶场,给大家推荐一下。 玄机靶场地址:https://xj.edisec.net/第一章 应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交 2....
应急响应- Linux入侵排查
最近发现一个不错的在线靶场,给大家推荐一下。 玄机靶场地址:https://xj.edisec.net/第一章 应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交 2.服务器疑...
vulnhub之serial的实践
本周实践的是vulnhub的serial镜像,下载地址,https://download.vulnhub.com/serial/serial.zip,用workstation导入成功,做地址扫描,su...
如何利用pear扩展实现rce
当遇到一个LFI漏洞时,如果想要进一步利用实现rce,那么就要结合其它的文件。网上看到了可以通过pearcmd.php文件来实现rce。本文就是记录一下这种方法。利用条件1)服务器上安装pear,也就...
一次针对裸聊诈骗的审计流程
免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 0x00 前言 前段时间有一个老哥给了...