1day漏洞分析hrmobile接口反射类漏洞本来这个漏洞是通过java反射nc.itf.hr.tools.IFileTrans.uploadFile 但是我只复现成功了nc.itf.hr.tools...
不同视角学习Java代码审计之文件读取漏洞
声明:文章涉及网络安全技术仅作为学习,从事非法活动与作者无关!本篇为代码审计系列任意文件读取基础理论篇第三篇,看完本篇你将掌握关于文件读取漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误...
java安全学习-Java中动态加载字节码的方法
Java中动态加载字节码的方法1、利用 URLClassLoader 加载远程class文件public static void main(String[] args) { try { ...
ofcms的XXE漏洞分析
forever young路虽远行则将至,事虽难做则必成。01代码审计赤弋安全XXE 代码审计常搜索的关键字如下:XMLReaderSAXBuilderSAXReaderSAXParserFactor...
攻防项目中的代码审计
原文链接:https://xz.aliyun.com/news/18075在一些攻防项目中,除了一些常见的大型系统外,常常还会遇到其他一些相对小众的系统,而在打不动大型系统时,这些相对小众的系统往往是...
某NET代码审计记录
免责申明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。一、前言某一个学员让我进行审计一套NET代...
通达OA OfficeTask前台RCE、SQL注入漏洞分析
一、漏洞概述注:本文仅以安全研究为目的,分享对该漏洞的挖掘过程,文中涉及的所有漏洞均已报送给国家单位,请勿用做非法用途。通达OA是国内常用的智能办公系统,为各行业不同规模的众多用户提供信息化管理能力,...
【PHP代审】新款ThinkPHP码支付
点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...
emlog2.5.3代码审计(后台文件上传漏洞)
前言前几天在学代码审计,翻cnvd看到一个emlog的新漏洞,想着自己复现一下搭建访问官网找到对应版本下载即可https://www.emlog.net/解压到phpstudy的www目录下访问ins...
某GPS定位系统存在前台SQL注入漏洞
点击上方蓝字关注我们 并设为星标0x00 前言手机端强制打开GPS,每3分钟(可调)获取一次所在经纬度,如果位置变化距离超过100米(可调),则提交给后台的PHP。然后后台把得到的数据保存到数据库,再...
最新版 ThinkPHP (8.1.2) 反序列化漏洞挖掘
最新版 ThinkPHP (8.1.2) 反序列化漏洞挖掘前言很久没分析过PHP了, 最近ThinkPHP 8又更新了最新版本 (1月14号), 当然在这里进行一个反序列化漏洞挖掘. 其链路后半部分耦...
JavaWeb代码审计 | 文件上传基础篇
本篇为代码审计系列文件上传基础理论篇第二篇,看完本篇你将掌握关于文件上传漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。漏洞原理业务视角DEMO代码漏洞校验DEMO代码某...
196