0x01 前言 最近也是专研代审一段时间,也是发现要走的路很长很长。本篇所用的java方法我已经在上一篇写到,如有不足之处请见谅。0x02 路由分析java源码中,...
02月21日97 views评论center
mvc
海康安防iSecure系统代审
02月21日97 views评论center
mvc
02月21日97 views评论center
mvc
亿赛通LinkFilterService权限绕过到后台rce漏洞分析
LinkFilterService 权限绕过 漏洞描述 2023年12月,互联网上披露亿赛通电子文档安全管理系统旧版本相关接口存在权限绕过与代码执行漏洞。攻击者可构造恶意请求绕过身份认证,结合相关功能...
02月21日60 views评论filter
函数
代码审计学习(PDF下载)
下载地址:https://pan.quark.cn/s/5c32560ef40b该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。关 注 有 礼原文始发于微信公众号(Web安全工具库):代...
02月21日41 views评论代码审计
安全工具
某盘移动图书馆系统审计
0x00 前言app="金盘软件-金盘移动图书馆系统"0x01 前台任意文件读取在 /pages/admin/tools/file/download.jsp 中 GET获取参数items 并可取任意文...
02月19日70 views评论callback
response
刷爆码云系列:Fastcms 代码审计(第二篇)
经常会遇到jwt secret硬编码导致的权限绕过,本项目可以通过jwt权限绕过+模版注入rcejwt伪造fastcms-v0.1.5-release/web/src/main/resources/a...
02月19日58 views评论rce
代码审计
java代码审计之SQL注入漏洞
Part1 前言: 开更文章了,开一个关于Java代码审计相关的系列。 本来是想写成一本书的模式的,但是越写越发觉,篇幅太多,想了下还是每个专题单独写,而后最后汇总到一起。 慢慢写,基于笔者的理解抒写...
02月19日38 views评论sql注入
sql注入漏洞
Panalog日志代码审计(0Day)
0x00 前言 看到挺多公众号都在发这一个系统,并且之前自己审计出来的一些漏洞也都相继爆出来了,今天我也来一个相关的审计流程。 0x01 鸡肋前台RCE漏洞 涉及文件mailcious_down_fo...
02月18日86 views评论day
代码审计
代码审计思路经验谈
软件漏洞概述漏洞是指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。在软件安全方面,漏洞是软件中的特定缺陷,攻击者能够利用该弱点进行敏感信息更改和破坏,或者...
02月18日88 views评论代码审计
安全策略
服务器端模板注入(SSTI)hackmyvm之ephemera续篇
接着上一篇的ephemera靶机,今天更新提权部分,以及介绍一下服务器端模板注入(SSTI)phpinfo+文件包含临时文件getshell (qq.com)提权这次用Linpeas工具来信息收集,先...
02月18日15 views评论ssti
服务器端
利用特殊反序列化组件攻击原生反序列化入口
免费&进群前言所谓特殊反序列化,就是指自实现了序列化/反序列化逻辑的组件,本文主要讨论以下三种FastJsonJackson(SpringBoot原生环境自带)ROME(其实并不是特殊反序列化...
02月18日18 views评论反序列化
序列化
Shiro反序列化相关
原理 获取Cookie中rememberMe的值 · 对rememberMe进行Base64解码 · 使用AES进行解密 · 对解密的值进行反序列化 这样的话攻击者就可以通...
02月18日26 views评论反序列化
序列化
某开源oa审计
0x00 前言这OA界面长这样. 这套系统洞很多.源码下载:https://down.chinaz.com/soft/43101.htm0x01 前台任意文件写入在/uploadbase64.php ...
02月18日25 views评论juese
quanxian
184