代码审计 - 第 116 | CN-SEC 中文网

代码审计

代码审计公开课|从沙盒逃逸到RCE

前言这是我们第一道作业题，也是我自己给学员开发的一套内部代审靶场。难度比较高。当时我们讲解了基础课中的sql注入、RCE的相关理论知识。并且有3位学员将我们对于该题目的三种不同的解题方式全部解出。本题...

12月12日34 views评论

阅读全文

代码审计

PHPMyWind 注入+GetShell 代码审计

零基础黑客教程，黑客圈新闻，安全面试经验尽在 # 掌控安全EDU #1前言大家好，我是掌控安全学院的聂风老师今天写一篇代码审计的文章，分享给同学们学习这次我们挑选PHPMyWind进行审计...

12月10日216 views评论

阅读全文

代码审计

Java代码审计实战 || 配合JTopCMS实战讲解目录穿越漏洞

嗨，朋友你好，我是闪石星曜CyberSecurity创始人Power7089。今天为大家带来的是【炼石计划@Java代码审计】Java代码审计之Web漏洞篇之目录穿越篇漏洞。配合JtopCMS实战讲解...

12月02日195 views评论

阅读全文

代码审计

0day审计之某微代码审计

前话：可以回看前文《java代码审计新-从0到无》，这里就不再诉述。第一：看历史漏洞泛微前台注入/js/hrm/getdata.jsp注入点前台注入https://www.cnblogs.com/0d...

12月02日255 views评论

阅读全文

代码审计

原创 | 从Deserialization和覆盖trustURLCodebase进行JNDI注入

点击蓝字关注我们DeserializationLDAP在通过LDAP协议访问远程服务的时候，我们可以跟进到LdapCtx#c_lookup方法中这里调用了doSearchOnce方法获取LDAP远程返...

12月01日40 views评论

阅读全文

代码审计

JAVA-GUI工具的编写-请求篇

上节我们说到，我们制作了样子货的GUI，但是没有嵌入任何的按钮事件，并且上一次忘记加进去命令执行的确定按钮，让我们简单的回顾一下子吧import javafx.application.Applicat...

11月30日65 views评论

阅读全文

代码审计

Java代码审计5期优秀学员作业选登

文章来源 | MS08067 Java代码审计5期作业本文作者：River作业1需求1增加的代码（BankCustomer.java）（注释中区分了为了解决此需求而增加的代码）import&...

11月30日14 views评论

阅读全文

代码审计

开发Java审计辅助脚本

Dependency-Check 是一种软件组合分析 (SCA) 工具，它会检测项目依赖项中包含的公开披露的漏洞。DependencyCheck下载地址：https://github.com/jere...

11月29日44 views评论

阅读全文

代码审计

Java反序列化学习-Shiro反序列化

文章总体的思路1.用一个简单的例子来说明反序列化导致RCE的过程2.对Shiro漏洞的过程进行调试3.通过两个Shiro反序列化的工具分析大致的利用过程Java反序列化简介1.序列化：将对象转化为字节...

11月29日98 views评论

阅读全文

代码审计

SeaCms 代码审计getshell

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系刘一手。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果...

11月26日42 views评论

阅读全文

代码审计

Java审计之反序列化挖掘

前置知识首页你要了解什么是反序列化，需要用到哪些函数如下图java反射机制在反序列化中，反射必不可少让java具有动态性修改已有对象的属性动态生成对象动态调用方法操作内部类和私有方法在反序列化中定制需...

11月25日74 views评论

阅读全文

代码审计

CodeQL的自动化代码审计之路（中篇）

0x01 前言在上一篇文章中，我们已经了解了关于CodeQL的基本语法，从实际案例角度来体验了CodeQL在代码审计中的作用。从这篇文章开始，我们将开始真正打造基于CodeQL的自动化代码审计工具，由...

11月25日47 views评论

阅读全文