代码审计 - 第 37 | CN-SEC 中文网

代码审计

nginxWebUI 3.6.5版本审计与绕过

概述nginxWebUI runCmd远程命令执行漏洞时间线：- 5月19日官方发布新版本（3.5.2）修复漏洞- 5月26日漏洞细节在安全社区（火线）公开披露- 6月29 官方发布3.6.2 、3....

10月13日18 views评论

阅读全文

代码审计

Java反射深入再理解

星期五实验室阅读须知星期五实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行...

10月13日5 views评论

阅读全文

代码审计

Java反序列化之反射&URLDNS链审计

获黑客教程免费&进群JAVA序列化和反序列化概念：Java序列化是指把Java对象转换为字节序列的过程；Java反序列化是指把字节序列恢复为Java对象的过程。序列化分为两大部分：序列化是这个...

10月13日15 views评论

阅读全文

代码审计

4.LosFormatter反序列化点+一些反序列化链

1.LosFormatter使用以及分析还是先来看看LosFormatter的简单使用吧，这里也用Y4er师傅的demo来学习一下先先写一个可以序列化与反序列化的类，其中有name和age两个属性，一...

10月13日22 views评论

阅读全文

代码审计

『代码审计』ThinkPHP8.0的反序列化分析

CHENJI点击蓝字关注我们日期：2024年09月11日作者：Obsidian介绍：ThinkPHP8的反序列化分析。0x01 前期准备ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级...

10月13日38 views评论

阅读全文

代码审计

源码审计是否存在sql注入，安全和危险的sql操作代码

得到源代码获得源代码后，使用搜索工具，例如PowerGREP搜索源码搜索关键词如下selectupdatedeleteinsertsqlfromdatabase搜索后，可以看到结果中出现了很多条sql...

10月13日24 views评论

阅读全文

代码审计

BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件漏洞+SQL注入

BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件漏洞+SQL注入BlueCMS 1.6 安装包下载:http://www.xsssql.com/wp-content/upload...

10月13日87 views评论

阅读全文

代码审计

Java反射技术详解

一、基本反射技术1.1 根据一个字符串得到一个类getClass方法打印结果如下：Class.forName比如我们获取java.lang.String的类名这里也通过捕获异常，因为我们传的这个字符...

10月13日9 views评论

阅读全文

代码审计

致远oa表单导入任意文件写入漏洞分析

环境搭建 1 2 链接：https://pan.baidu.com/s/1d9BgbCkV82WG1TCwXvmMDA?pwd=h7kz 提取码：h7kz （1）安装mysql数据库（针对A8版本）。...

10月13日31 views评论

阅读全文

代码审计

记某次phar反序列化审计捡漏记录

原文首发在：奇安信攻防社区https://forum.butian.net/share/3785前端时间学习了下phar反序列化的原理，想着找个通用系统挖挖看，运气好捡到一个，便有此文记录一下捡漏过程...

10月12日17 views评论

阅读全文

代码审计

JAVA安全之Thymeleaf模板注入防护绕过

文章前言若依CMS中使用到了Thymeleaf模板引擎且存在模板注入可控点，但是在漏洞测试过程中发现常规的通用载荷并不生效，遂对其进行调试分析，最后发现是和Thymeleaf版本有莫大的关系，其中3....

10月12日28 views评论

阅读全文

代码审计

Java安全基础之反射、类加载、动态代理

声明：本篇文章作者YDJA，本文属i春秋原创奖励计划，未经许可禁止转载。https://bbs.ichunqiu.com/thread-63790-1-1.html前言接触了一段时间的Java安全后发...

10月12日16 views评论

阅读全文

nginxWebUI 3.6.5版本审计与绕过

Java反射深入再理解

Java反序列化之反射&URLDNS链审计

4.LosFormatter反序列化点+一些反序列化链

『代码审计』ThinkPHP8.0的反序列化分析

源码审计是否存在sql注入，安全和危险的sql操作代码

BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件漏洞+SQL注入

Java反射技术详解

致远oa表单导入任意文件写入漏洞分析

记某次phar反序列化审计捡漏记录

JAVA安全之Thymeleaf模板注入防护绕过

Java安全基础之反射、类加载、动态代理

在线咨询

微信