安全开发 - 第 129 | CN-SEC 中文网

安全开发

一文学会使用python编写poc实现自动批量扫描

poc是啥？证明某个漏洞的存在性和危害性，重在证明漏洞存在，不利用，如果需要利用则为exp使用poc复现漏洞漏洞描述：用友移动管理系统 uploadApk.do 接口存在任意文件上传漏洞，攻击者...

02月28日74 views评论

阅读全文

代码审计

FastJson与原生反序列化-影响Fastjson1 小于等于（1.2.48），Fastjson2 小于等于(2.0.26)

FastJson与原生反序列化前言这其实是我很早前遇到的一个秋招面试题，问题大概是如果你遇到一个较高版本的FastJson有什么办法能绕过AutoType么？我一开始回答的是找黑名单外的类，后面面试官...

02月28日15 views评论

阅读全文

安全开发

Python 字符串中英文对齐

Python 在终端上打印字符串时，纯英文比较好对齐，中英文混杂时不容易对齐。纯英文字符串对齐方法：text1 = "apple"text2 = "banana"# 左对齐print("{:<1...

02月28日22 views评论

阅读全文

代码审计

Finebi反序列化漏洞分析

反序列化 /webroot/decision/remote/design/channel 处存在发序列化漏洞这个接口接收post传输的数据，会先经过GZIPInputStream解压缩GZIP格式数...

02月28日32 views评论

阅读全文

代码审计

代码审计|Thinkphp反序列化代码审计

Thinkphp反序列化代码审计今天来复现一下tp的反序列化漏洞在开始进行tp框架反序列化代码审计时，我们需要先了解一些基础的php魔法函数，一下是一些反序列化常用的魔法函数：__wakeup()&n...

02月27日40 views评论

阅读全文

代码审计

某CMS的通用漏洞挖掘过程 | 干货

前言本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复，请勿用于非授权测试！！！现在比较严格，目标名称均以某CMS指代，见谅。前言本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了，最近...

02月26日85 views评论

阅读全文

代码审计

移动端代码审计实践

代码审计的分解和实战是安全研究者需掌握的一种能力。进行代码审计前需对语言安全的基础有一定掌握，这是进行审计的一个前提条件。代码审计过程中还会涉及到第三方开发库例如jar包，aab包等这些也是需要做审计...

02月26日30 views评论

阅读全文

代码审计

FastJson原生反序列化链

0x01 前言好久不见，此次分析源于一次fastjson实战，遇到了其他链打不了，发现原生的链可以打，本着知其然，必要知其所以然的态度，做了一次学习复现，留做笔记。0x02 漏洞分析01 环境搭建老规...

02月26日28 views评论

阅读全文

JAVA代码审计之SSRF

0x01 SSRF简介SSRF 是 Server-Side Request Forge 的英文首字母缩写，中文意思是服务器端请求伪造。Web 应用程序往往会提供一些能够从远程获取图片或是文件的接口，在...

02月25日代码审计65 views评论

阅读全文

代码审计

记一次实战中的代码审计

漏洞挖掘开局登陆框并且验证码还有效，通过验证码识别在进行爆破效率低，爆破账号密码这条路就先放着最后。在网页源代码找到一段注释的代码。通过给的链接查看发现这个代码几年都没有更新了，八九不离十都存在漏...

02月25日38 views评论

阅读全文

安全开发

Python写pdf转换word工具

代码： import os import threading from tkinter import Tk, Button, Label, filedialog from tkinter import...

02月24日24 views评论

阅读全文

安全开发

Havoc Framework C2 Agent开发记录

授权转载背景💡 Havoc是一个现代的、可塑性的开发后命令和控制框架，适用于渗透测试人员、红队和蓝队。它是Github上的免费开源软件，由Paul Ungur（C5pider）编写和维护。开源地址：[...

02月24日71 views评论

阅读全文

一文学会使用python编写poc实现自动批量扫描

FastJson与原生反序列化-影响Fastjson1 小于等于（1.2.48），Fastjson2 小于等于(2.0.26)

Python 字符串中英文对齐

Finebi反序列化漏洞分析

代码审计|Thinkphp反序列化代码审计

某CMS的通用漏洞挖掘过程 | 干货

移动端代码审计实践

FastJson原生反序列化链

JAVA代码审计之SSRF

记一次实战中的代码审计

Python写pdf转换word工具

Havoc Framework C2 Agent开发记录

在线咨询

微信