代码 - 第 31 | CN-SEC 中文网

安全文章

JavaScript 枚举

JavaScript 枚举！JavaScript 是一种可以在任何浏览器中运行的编程语言，多年来，随着开发人员使用这种语言为 Web 应用程序提供功能，JavaScript 具有令人印象深刻的重要性！...

06月09日33 views评论

阅读全文

安全漏洞

Confluence OGNL表达式注入命令执行漏洞（CVE-2022-26134）

Confluence OGNL表达式注入命令执行漏洞（CVE-2022-26134）Atlassian Confluence 是 Atlassian 公司出品的专业wiki程序。它可以作为一个知识管理...

06月09日212 views评论

阅读全文

安全文章

SpringBoot Actuator之 logging.config grovvy rce分析及内存马注入

Spring boot最经典的漏洞莫过于由于配置不当导致Actuator的相关路由暴露从而导致信息泄露以及各种远程命令执行漏洞。根据spingboot官方文档，以spring-boot 2.1.10版...

06月09日187 views评论

阅读全文

CTF专场

2020网鼎杯（白虎组）的部分wp

前言记录下第二届网鼎杯白虎组的部分wpMisc签到打开页面发现是一个游戏界面，查看源代码中的js文件，发现了一个ajax请求：setTimeout(function () { if (n) { ret...

06月09日216 views评论

阅读全文

安全文章

ATT&CK-Spring Framework(CVE-2022-22965)远程代码执行漏洞

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...

06月07日76 views评论

阅读全文

CTF中basename()绕过小结

0x01 basename()定义和用法概念：basename()函数返回路径中的文件名部分。语法：basename(path,suffix)主要参数：Path描述：必需，规定要检查的路径。例子：&l...

06月04日CTF专场218 views评论

阅读全文

移动安全

Android防逆向基础

零基础一对一技术咨询服务(远程指导)防逆向代码混淆、针对不同逆向工具保护技术、增加逆向难度（java代码native化）、动态加载技术、代码验证技术代码混淆工具：proguard常用操作：保留选项、压...

06月04日221 views评论

阅读全文

安全闲碎

Learning Linux kernel exploitation - Part 1 - Laying the groundwork（译文）

本文中，我们将以hxp2020 CTF中的“kernel-rop”挑战题为基础，介绍如何利用驱动程序中的漏洞进行提权。我们知道，内核漏洞利用的主要目标，与用户空间的漏洞利用有很大不同，它不是直接生成一...

06月02日38 views评论

阅读全文

安全文章

红队tips：使用PDF弹XSS

1.使用迅捷PDF编辑器新建一个空白页。2.点击“视图”，显示页面缩略图。3.点击缩略图部分，右键属性。4.选择动作“打开页面”，在此插入XSS代码。try { app.alert("XSS")} c...

06月02日872 views评论

阅读全文

安全新闻

警惕！微软曝零日漏洞，可执行任意代码

近日，安全研究人员发现了一个新的Microsoft Office零日漏洞，该漏洞被称为“Follina”，通过Microsoft诊断工具（MSDT），只需打开一个Word文档，即可执行恶意PowerS...

06月01日65 views评论

阅读全文

安全文章

Microsoft Office Word Rce 复现

漏洞简介MS Office docx 文件可能包含作为 HTML 文件的外部 OLE 对象引用。有一个 HTML 场景 ms-msdt: 调用 msdt 诊断工具，它能够执行任意代码（在参数中指定）。...

06月01日198 views评论

阅读全文

代码审计

PHPCMS v9.6.0 前端任意文件上传漏洞分析

概述PHPCMS v9.6.0版本中的 libs/classes/attachment.class.php 文件存在漏洞，该漏洞源于 PHPCMS 程序在下载远程/本地文件时没有对文件的类型做正确的校...

06月01日196 views评论

阅读全文

JavaScript 枚举

Confluence OGNL表达式注入命令执行漏洞（CVE-2022-26134）

SpringBoot Actuator之 logging.config grovvy rce分析及内存马注入

2020网鼎杯（白虎组）的部分wp

ATT&CK-Spring Framework(CVE-2022-22965)远程代码执行漏洞

CTF中basename()绕过小结

Android防逆向基础

Learning Linux kernel exploitation - Part 1 - Laying the groundwork（译文）

红队tips：使用PDF弹XSS

警惕！微软曝零日漏洞，可执行任意代码

Microsoft Office Word Rce 复现

PHPCMS v9.6.0 前端任意文件上传漏洞分析

在线咨询

微信