安全开发 - 第 89 | CN-SEC 中文网

代码审计

.NET 情报 | 分析某云系统添加管理员漏洞

01 阅读须知此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成...

07月23日21 views评论

阅读全文

安全开发

vSAN8 U3测试之二：Lifecycle Manager

说老实话，我很讨厌Lifecycle Manager，更喜欢的是其前身：Update Manager，早在vSphere 4.1的年代，Update Manager还没有集成到vCen...

07月23日15 views评论

阅读全文

安全开发

设计模式-开闭原则

考研求职两不误——开放-封闭原则开闭原则是面向对象设计思想的核心所在需求发生变化时，要尽量考虑到后续可能的同类变化，对频繁变化的点及时做出抽象面对需求，对程序的改动是通过增加新代码进行的，而不是...

07月23日5 views评论

阅读全文

安全开发

自编译Frp 实现二次开发

在前面的文章中，我们讲到了利用Frp这款神器的使用。在使用过程中，我们都是利用作者打包好的包，直接使用。但是现实中，我们可能需要对其进行二开。因而，本文简单的为大家介绍下frp的二次开发。以修改fr...

07月23日25 views评论

阅读全文

安全开发

基于python对涉案APP的数据爬取

背景：在一次案件协助中，涉案服务器由于在境外，无法获取到服务器数据库及源码数据，在警方扣押的涉案手机中发现了涉案APP与服务器可以进行通讯，应客户要求将该APP的数据进行爬取，该APP...

07月23日13 views评论

阅读全文

代码审计

某系统存在文件覆盖导致getshell

一、漏洞审计问题出现在admin/filemanager接口的index方法漏洞条件1、获取了请求参数的path 漏洞条件2、在该方法里，可以看到当请求方法为post，而且mode=savef...

07月21日19 views评论

阅读全文

代码审计

创客13星零售商城系统RCE漏洞审计(0day)

0x00 前言拓客新零售系统是一套帮助商家自动匹配客户订单的营销推送工具，实现任何商家和客户都可以免费使用的全自动营销系统！既是为所有客户提供的一套自动匹配互粉的推送工具.Fofa:"/Public/...

07月21日81 views评论

阅读全文

代码审计

从任意文件读取到代码审计获取权限

从任意文件读取到代码审计获取权限记录一次给客户日常安全测试过程中，通过一个任意文件读取漏洞到最后获取到服务器权限过程，文章中涉及相关都打码，避免泄露客户信息。任意文件读取在使用yakit抓包测试时，发...

07月21日23 views评论

阅读全文

代码审计

某系统存在文件覆盖导致getshell

07月20日12 views评论

阅读全文

代码审计

某TP拼团零售商城系统RCE漏洞审计

0x00 前言 ThinkPHP5 拼团拼购系统，支持热门商品，余额总览，红包分销，商品销售，购物车等功能，后台使用管理系统所构建. Fofa:"/public/static/plugins/zept...

07月20日64 views评论

阅读全文

代码审计

反序列化学习之路-Shiro550

前言在CC链反序列化基础过后，我们接着分析shiro系列的两个经典反序列化漏洞550和721，本篇先对Shiro-550进行代码分析环境搭建1.下载文件1. jdk8u652.tomcat8 （htt...

07月20日21 views评论

阅读全文

安全开发

如何用Paramiko和多线程让SSH远程命令飞一般执行？

点击蓝字RECRUIT关注我们❝大家好！我是一个热衷于分享IT技术的up主。在这个公众号里，我将为大家带来最新、最实用的技术干货，从编程语言到前沿科技，从软件开发到网络安全。希望通过我的分享，能够帮助...

07月20日62 views评论

阅读全文

.NET 情报 | 分析某云系统添加管理员漏洞

vSAN8 U3测试之二：Lifecycle Manager

设计模式-开闭原则

自编译Frp 实现二次开发

基于python对涉案APP的数据爬取

某系统存在文件覆盖导致getshell

创客13星零售商城系统RCE漏洞审计(0day)

从任意文件读取到代码审计获取权限

某系统存在文件覆盖导致getshell

某TP拼团零售商城系统RCE漏洞审计

反序列化学习之路-Shiro550

如何用Paramiko和多线程让SSH远程命令飞一般执行？

在线咨询

微信