ZhiCms 4.0的SQL注入与RCE前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。还在学怎么挖通用漏洞和src吗?进度:90/...
03月25日23 views评论rce
sql注入
漏洞分析 | ZhiCms 4.0的SQL注入与RCE
03月25日23 views评论rce
sql注入
03月25日23 views评论rce
sql注入
Commons Collections1链分析与学习
前言两个月前就学了CC链子,当时虽然看懂了大概是个什么流程,但感有些囫囵吞枣,算不上真正学会,也没有记录学习,因此我觉得还是很有必要再学习,温习的。如果你也是想复习一番,可以看看,当然如果你想从环境搭...
03月25日12 views评论collection
transformer
Java基础之JNDI
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,禁止私自转载,如需转载,请联系作者!!!!请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果...
03月25日代码审计7 views评论jndi
ldap
CommonCollections1链简单分析
CommonsCollections1简称CC1链,ApacheCommons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构...
03月25日5 views评论collection
fun
Python反序列化漏洞(入门)
python反序列化漏洞前置知识漏洞原理代码中进行了反序列化操作,反序列化魔术方法可以被触发,且反序列化的参数可控函数使用:pickle.dump(obj, file) : 将对象序列化后保存到文件p...
03月24日8 views评论反序列化
序列化
某多语言货币交易市场审计
0x00 前言在网上看到一套交易市场的源码,废了很大的劲终于下载下来.看了一眼 发现是Thinkphp 3.2.3框架 且目录貌似设错了(没放到Public目录),导致网站文件都可以直接被访问到. 后...
03月23日7 views评论die
交易市场
java反序列化漏洞(入门)
java序列化和反序列化的概念:序列化:把Java对象转换为字节流的过程。反序列化:把字节流恢复为Java对象的过程。对象的序列化主要有两种用途:把对象的字节序列永久地保存到硬盘上,通常存放在一个文件...
03月23日12 views评论反序列化
序列化
PHP反序列化漏洞(入门二)-魔术方法+原生类
魔术方法利用点分析演示:触发:unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法。魔术方法:__construct()://构造函数,当对象new的时候会自动调用__destr...
03月22日8 views评论struct
反序列化漏洞
PHP反序列化漏洞(入门1)
漏洞产生原理没有对用户输入的序列化字符串做检测,导致攻击者可以控制反序列化过程。序列化(serialize())//将一个对象转换成一个字符串反序列化(unserialize())//将字符串还原成一...
03月22日11 views评论反序列化
序列化
[0Day]-FLIR-FLIR-AX8系统代码审计
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
03月20日8 views评论isset
代码审计
CSRF-代码审计+检测绕过
csrf漏洞-黑白盒判断CSRF安全问题黑盒怎么判断:1、看有没有验证来源2、看凭据有没有token3、看关键操作有没有验证修复:把上述三点变成有即可CSRF安全问题白盒怎么审计:同黑盒思路一样,代码...
03月19日6 views评论csrf
代码审计
PHP SQL快速审计思路
文章来源:朋友写的,拿来PHP挖SQL的话还是可以,最近也和他一直在整一些事情,整理内部知识库,搭建内部平台,这个后面再说。先看文章吧前言:在我看来,代码审计只需要关注两个点。一个是可控的输入,另一个...
03月19日38 views评论fuzz
sql语句
125