(已知目标ip为1.1.1.1)使用fofa看看有哪些web服务:我一般会习惯性的F12、刷新看看网站会加载哪些资源(总会出现一些奇妙的路径)如图:ueditor+jspSSRF目录遍历文件上传 =&...
12月21日2,322 views评论jsp
xss
记一次对ueditor的捡漏之旅
12月21日2,322 views评论jsp
xss
12月21日2,322 views评论jsp
xss
【实例剖析】记一次通过代码审计完成的渗透
网安教育培养网络安全人才技术交流、学习咨询这是一次针对某高校的授权安全测试,只给了目标学校的名字,所有资产自行收集。信息收集无非老三样,百度、子域名、C端。通过百度,我们找到了目标学校的域名examp...
12月21日233 views评论域名
源码
BeesCMS的SQL注入漏洞
如何使用Hetty对HTTP进行安全研究审计
HettyHetty是一款针对安全研究设计的HTTP工具套件,该工具的目标是成为一些商业软件(比如说BurpSuite Pro)的开源替代产品。该工具的功能十分强大,并且针对信息安全以及漏洞Hunte...
12月20日222 views评论http
web
pbootcms最新版本前台捡的rce-论如何绕废正则
更多全球网络安全资讯尽在邑安全前言机缘巧合,为了给bytectf出题,不会写代码,无奈拿起老本行,代码审计一下pbootcms,先说一次,CTF诚不欺我0x01目前公网看到的最新的是3.0.1版本的r...
12月14日266 views评论com
https
骑士CMS模版注入+文件包含getshell复现
上方蓝色字体关注我们,一起学安全!作者:microworld@Timeline Sec本文字数:3919阅读时长:8~10min声明:请勿用作违法用途,否则后果自负0x01 简介骑士cms人才系统,是...
12月14日361 views评论代码执行
漏洞
代码审计:BlueCMS v1.6
发现公众号上好像没什么代码审计的文章,于是便把之前自己的笔记拿过来给大家分享一下,这个cms基本已经被玩烂了,但是还是有一些学习意义的。源码下载地址:https://cowtransfe...
12月06日99 views评论代码
审计
诸子云 | 项目:代码审计建设调研报告
诸子云 ▪ 企业网络安全专家联盟——以中国境内各行业各领域企业组织的网络安全从业骨干为主体的社群组织,是为奋战在用户单位网络安全一线的实践者提供的交流互助平台。2019年6月,诸子云首次推出...
12月03日35 views评论网络安全
项目
一道CTF来审计学习PHP对象注入
前言从一道CTF来审计学习PHP对象注入,由功能的分析到漏洞的探测、分析和利用。考点PHP对象注入、代码审计、序列化分析信息收集题目上来给了一个文件上传的服务,没有直接去测试,对网站进行敏感信息收集,...
12月01日401 views评论ctf
php
米酷cms代审记录
一、前言米酷cms是一套用户视频搭建的cms,源码中存在大量sql注入,选了两处进行记录其余过程原理和过程都一样就不记录了。二、注册处SQL注入漏洞位置:ucenterreg.php,第1~18行。系...
12月01日432 views评论php
sql
PHP代码审计入门笔记合集(共20篇)
文章来源:Bypass 早安,我的朋友们。 今天是11月20号,离2021年只41天了,今年你的小目标完成了吗? 跟大家分享件事情,其实这几个月来,我一直在准备一场考试,值得高兴的是,就在前两天终于顺...
11月21日310 views评论php
代码
渗透测试中python审计0day组合拳
这是 酒仙桥六号部队 的第 105 篇文章。全文共计3264个字,预计阅读时长10分钟。前言在渗透的时候扫了扫全端口,偶遇一个系统pgadmin4,它是一款管理postg...
11月16日403 views评论web
漏洞
128