扫码领资料获网安教程免费&进群本文由掌控安全学院 - xilitter 投稿0x01 框架基础环境搭建这块还是比较容易的,github可以下载任意版本的极致CMS,下载源码...
12月13日27 views评论代码审计
任意文件下载
从0学代码审计——极致CMS v1.9.5
12月13日27 views评论代码审计
任意文件下载
12月13日27 views评论代码审计
任意文件下载
JAVA代码审计-jsherpcms
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
12月12日24 views评论xss
代码审计
CodeDom漏洞模式与SharePoint RCE
一什么是CodeDom机制.NET Framework 提供一种叫做 代码文档对象模型 (CodeDom) 的机制。我们可以使用 CodeDom 元素组合成 CodeDom 图来表示一段源...
12月12日17 views评论rce
using
致远OA代码审计系列五-ofd解压漏洞分析
漏洞描述:根据致远OA官方补丁定位到问题方法为OfdJavaZipUtil的unzip方法,未对压缩包内容进行任何检测, 存在zipslip漏洞,对压缩包内文件名使用../进行目录穿越, 解压jsp可...
12月11日134 views评论代码审计
漏洞分析
S2-013远程代码执行漏洞
漏洞简介Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,g...
12月10日41 views评论inputstream
member
JTopCMS审计之目录穿越漏洞
一、环境部署1.1、官方网站 https://www.jtopcms.com/1.2、下载地址 https://gitee.com/mjtop/JTopCMSV3/releases/tag/JTopC...
12月10日30 views评论功能
备份文件
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。 前世 Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,A...
12月10日60 views评论rpc
反序列化漏洞
HtmlUnit <3.8.0 存在远程代码执行漏洞(CVE-2023-49093)
在分析 CVE-2023-26119 漏洞时,发现了修复措施存在不完善的情况。该漏洞是由于 HTMLUnit 在执行 XSL 转换时未对 XSLT 进行安全限制所致。通过查看源代码,发现针对 XSLT...
12月10日31 views评论文档
浏览器
三个CVE拿下某开源OA
今日更新主题:遇到某OA系统的过程比较有趣,在此记录。为了避免泄露目标信息所有环境均为在本地重新部署仅为演示思路。起手登录页面随手一试,发现可爆破,账号密码均是base64编码传输的通...
12月10日59 views评论函数
账号
代码审计 | call_user_func 命令执行
示例代码 搭建环境: nginx(1.24.0)+php(5.6.40) session_start(); function client_ip(){ return !empty($_SERVER['...
12月08日21 views评论filter
ip
JAVA代码审计篇-SQL注入
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其...
12月08日代码审计29 views评论sql注入
sql注入漏洞
YoudianCMS 7.0 审计(0day)
Fofa:app="友点建站-CMS"0x01 前台信息泄露访问 /t.php|/upload/t.php 泄露了网站根目录等信息./t.php?action=phpinfo //调出PHPinfo0...
12月08日96 views评论
128