作者:0x4qE@知道创宇404实验室时间:2021年7月15日 0x01 简述 Yapi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测...
07月25日92 views评论命令
漏洞
yapi 远程命令执行漏洞分析
07月25日92 views评论命令
漏洞
07月25日92 views评论命令
漏洞
4段简短代码教你用Python读写Excel
导读:数据分析将作为一门通用技能,进入越来越多的不同工作中。毕竟“技多不压身”,掌握数据分析,一方面可以提升自己相应的业务能力,另一方面也可以让自己建立一种从数据出发的视角,用大数据思维去思考各种问题...
07月25日71 views评论excel
数据分析
一个已经存在 10 年,却被严重低估的库
来自公众号:Python编程时光大家好,我是明哥。今天介绍的是一个已经存在十三年,但是依旧不红的库 decorator,好像很少有人知道他的存在一样。这个库可以帮你做什么呢 ?其实很简单,就是可以帮你...
07月25日56 views评论一个
存在
某管理系统快速代码审计
一:漏洞思路🐑渗透的时候拿到了一个设备的源码这里的代码为PHP, 一般很多设备存在 判断网络连接的模块,所以可以通过工具快速寻找存在命令拼接的地方这里存在两个文件含有这个模块第一个文件 ajax_cl...
07月25日103 views评论config
php
java恶意样本调试指南
hw结束前最后一天,某老哥在某设备上抓到一个内存马jsp样本,苦于样本被混淆且无法调试而作罢,于是求助我帮忙分析样本。恰好昨天看到deadeye团队发布的weblogic恶意攻击样本中出现无法使用id...
07月25日86 views评论样本
调试
APT供应链打击实战--硬挖.net开发商源码0day
#前言作者:云诚信息 DARMA实验室编辑:国士无双 man catsay最近有很多人都在问,怎么做好APT攻防,做好职业蓝军深度挖掘业务系统的威胁等等。我回答的很简单,遇山开山,逢水架桥。有时候再骚...
07月25日130 views评论0day
供应链
【奇技淫巧】Intellij IDEA调试ysoserial等Java项目的方法
用Intellij IDEA调试Java项目是研究Java安全的必备技能点,之前在其他地方分享过相关方法,这次在土司也分享一下,省点复活币 。以 https://github.com/frohoff/...
07月25日182 views评论idea
java
ysoserial CommonsColletions7分析
CC7也是一条比较通用的链了,不过对于其原理的话,其实还是挺复杂的。文章如有错误,敬请大佬们斧正CC7利用的是hashtable#readObject作为反序列化入口。AbstractMap的equa...
07月24日62 views评论poc
大佬
如何对 DongTai-agent-java 进行 Debug
01编译打包1.Fork DongTai-agent-java 项目到自己的github仓库2.将项目 clone 到本地3.更改配置文件“iast-agent/src/main/resources/...
07月24日180 views评论agent
server
代码审计之某代刷网系统
0x00版权信息文章由YanXia首发于奇安信攻防社区地址 :https://forum.butian.net/share/2700x01前言众所周知,目前这种代刷网在网络上还是比较常见的,所以今天准...
07月24日119 views评论sql
注入
CommonCollections2利用链分析
前言最近日tp去了,但是Java也不能落下,之前分析了cc1的利用链差不多搞懂了造成Java反序列化的基本原理,这里把cc2看下加深下印象,话不多说,直接开始基础知识PriorityQueuePrio...
07月23日94 views评论import
java
ysoserial CommonsColletions6分析
CC6的话是一条比较通用的链,在JAVA7和8版本都可以使用,而触发点也是通过LazyMap的get方法。TiedMapEntry#hashCode在CC5中,通过的是TiedMapEntry的toS...
07月22日114 views评论lazymap
调用
184