✦++转载 来源"IOTsec-Zone"最近逛tenda发现新上了一款摄像头,这不下载个固件看看?直接binwalk一把梭firmAE这里先不看文件系统,尝试下用firmAE来模拟固件sudo ./...
浅析Apache Commons Jxpath命令执行分析(CVE-2022-41852)
点击蓝字 / 关注我们简介JXPath是apache公司提供的XPath的java实现,JXPath 提供了用于遍历 JavaBean、DOM 和其他类型的对象的图形的 API,同...
WEB常见漏洞之命令执行(基础原理篇)
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
PostgreSQL 高权限命令执行 (CVE-2019-9193)漏洞复现&实战
漏洞简介postgreSQL是一个功能强大对象关系数据库管理系统。由于9.3增加一个“COPY TO/FROM PROGRAM”功能。这个功能就是允许数据库的超级用户以及pg_read_server_...
PHP代码审计之WEB安全系列基础文章(三)之命令执行篇
嗨,朋友你好,我是闪石星曜CyberSecurity创始人Power7089。今天为大家带来PHP代码审计基础系列文章第三篇之命令执行篇。这是【炼石计划@PHP代码审计】知识星球第二阶段的原创基础系列...
速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接)
经“X漏洞奖励计划”,微步获取到一个YApi高危漏洞信息,无需点击(0-click),无任何权限要求,即可利用。YApi在GitHub上获得超过25000颗星,包括阿里、腾讯、百度、美团等中国一大批互...
深入挖掘红队实战中WinRM的使用技巧
大家好!这里是219攻防实验室!你一定没有听说过我们,因为我们刚成立不久。219攻防实验室专注于前沿攻防研究、武器平台化、红队评估、攻防演练,虽然我们是新实验室,但我们的成员有深入操作系统多年的老牌程...
2022潇湘信安原创技术文章汇总
时间过的可真快,不知不觉2022就已经结束。最近看到很多师傅和团队都有在发自家公众号的文章汇总,但我由于前段时间🐏了(身体不舒服),心情不是很好,一直在休息调整心态,所以公众号断更了1个多星期,也没有...
Spring RCE漏洞图形化GUI一键利用工具(附下载)
0x01 工具介绍springboot core 命令执行漏洞,CVE-2022-22965漏洞利用工具,基于JavaFx开发,图形化操作更简单,提高效率。0x02 安装与使用① 这里我用vulfoc...
一款Oracle数据库命令执行工具:oracleShell
####################免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开...
Exp-Tools 工具开发
前言在学习java的过程中,一直想通过GUI编写一个属于自己的综合漏洞利用工具。只写高危漏洞用于红队快速打点,还要适当的具有扩展性方便查看是否遇到WAF及时修改。在尝试用JAVAFX编写GUI的时候,...
西安某校命令执行- CVE-2019-0193
最近在edu src方面进行了一些尝试,同时突然想到没有对该学校进行过测试,在进行一波信息收集之后,也是成功拿到了这个点,简单记录一下。2.漏洞影响范围:Apache Solr < 8.2.03...
23