发表的所有文章 | CN-SEC 中文网

安全文章

Web安全-SSRF服务端请求伪造 - 7

一、什么是SSRF SSRF(server-side request forge，服务端请求伪造)，是攻击者构造的攻击链接传给服务端执行造成的漏洞，一般用来再外网探测或攻击内网服务。思维导图二、SS...

02月07日19 views评论

阅读全文

安全漏洞

CVE-2024-0939 任意文件上传漏洞（附EXP）

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与...

02月07日147 views评论

阅读全文

安全文章

HackTheBox-Crocodile

初始点1级第三关Crocodile获取目标IP。nmap扫描。nmap -sC -sV {target_IP}两个端口开放，21和80，21端口是FTP文件传输协议，配置...

02月07日19 views评论

阅读全文

安全漏洞

Atlassian Confluence远程代码执行

免责声明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与作者无关！！！漏洞描述Atlassian C...

02月07日21 views评论

阅读全文

代码审计

Rebuild代码审计

首先提前祝大家新年快乐，祝各位师傅身体健康，事业顺利。前段时间在先知社区逛的时候看到Rebuild这个项目的代码审计，故来自己审一下。源码如下:https://gitee.com/getrebuild...

02月07日66 views评论

阅读全文

安全文章

XXE - Bypass WAF

在 XXE 攻击中利用“0”作为填充字符来绕过 WAF。原文始发于微信公众号（TtTeam）：XXE - Bypass WAF

02月07日31 views评论

阅读全文

安全新闻

恶意 Excel 文件丢弃 Python 信息窃取程序

Fortinet 的 FortiGuard Labs 最近的一项分析揭示了一种复杂的基于 Python 的信息窃取程序，该窃取程序通过恶意 Excel 文档分发。这次攻击体现了网络犯罪分子用来破坏个人...

02月07日34 views评论

阅读全文

取证分析

以电子数据取证的角度看涉案虚拟货币扣押

原文始发于微信公众号（网络安全与取证研究）：以电子数据取证的角度看涉案虚拟货币扣押

02月07日43 views评论

阅读全文

安全文章

入门必备知识：深入浅出学SQL注入

介绍 SQL注入是一种常见的安全漏洞，攻击者通过构造恶意输入来干扰Web应用程序正常的SQL查询逻辑，从而获取、修改或者删除数据库中的敏感信息。在各类注入类型中，数字型注入和字符型注入是两种最为基础且...

02月07日31 views评论

阅读全文

安全文章

渗透实战 | 从外网直接打到内网全过程

这次渗透是一个从0到1，从外网到拿下域控的实战过程，希望可以给大家一些思路正文目标：www.xxxx.com(一家教育机构) 打开是一个登录框，只能是手机号+密码或者手机号+验证码且并未开放注册功...

02月07日65 views评论

阅读全文

安全文章

实战纪实 | 绕过宝塔的的文件上传

前言前几天找到个可以上传任意文件的上传点，成功上传phpinfo页面并能访问，但是不能成功上传一句话，发现这台主机装了宝塔，经过反复尝试终于成功上传一句话并连接。 0x01 漏洞发现结果前期摸索，...

02月07日106 views评论

阅读全文

程序逆向

通过VEH（Vectored Exception Handling）进行syscall

前言在恶意软件开发的语境中，我遇到过术语 Vectored Exception Handling 或 Vectored Exception Handlers（简称 VEH），但直到现在我还没有真正掌握...

02月07日36 views评论

阅读全文

在线咨询

微信