文件 - 第 41 | CN-SEC 中文网

代码审计

CMS审计:任意文件删除->RCE

目录前言漏洞挖掘思路分享全局搜索，定位关键字判断前台洞 or 后台洞漏洞利用了解路由，构造payload验证漏洞，尝试getshell小结前言最近投了一些白盒审计的岗位，于是想着多看看代码，训练一下审...

12月16日146 views评论

阅读全文

安全文章

ThinkPHP5.1文件上传漏洞攻击与漏洞修复攻防实验

ThinkPHP5.1文件上传漏洞攻防实验，基于最新版的ThinkPHP V5.1.41 LTS做的攻防实验。实验目的：市面上基于ThinkPHP5.1开发的程序存在getshell高危后门很多没有维...

12月15日4,377 views评论

阅读全文

安全文章

【日志取证】

背景描述日志文件和日志分析工具是取证人员最好的武器之一因为日志文件记录着整个系统的历史操作，这非常有利于取证人员分析用户的行为，进而能够找出证明真相的讯息一般来说，日志文件记录着所有系统事件、用户行为...

12月14日232 views评论

阅读全文

安全工具

Qu1cksc0pe：多合一恶意软件分析工具

关于Qu1cksc0peQu1cksc0pe是一款功能强大的多合一恶意软件分析工具，该工具可以帮助广大研究人员分析Windows、Linux和macOS平台下的可执行文件以及APK文件等。Qu1cks...

12月14日205 views评论

阅读全文

使用TScopy访问已锁定的文件

关于TScopy在事件响应（IR）过程中，研究人员通常需要访问或分析文件系统上的文件。有时这些文件会因为正在使用而被操作系统（OS）锁定，这就很尴尬了。TScopy允许以管理员权限运行的用户通过解析文...

12月12日安全闲碎116 views评论

阅读全文

安全文章

Grafana 未授权任意文件读取

Grafana是一个跨平台、开源的数据可视化网络应用程序平台，用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。Grafana存在未授权任意文件读取漏洞，攻击者在未经身份验...

12月11日215 views评论

阅读全文

安全文章

文件包含利用思路

文件包含简介开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，而无需再次编写，这种调用文件的过程一般被称为包含。&nbs...

12月11日143 views评论

阅读全文

安全文章

RFI绕过URL包含限制Getshell

前言为什么有今天这篇文章？原因是我在浏览Twitter时，发现关于远程文件包含RFI的一个奇淫技巧！值得记录一下，思路也很新奇！因为它打破我之前以为RFI已死的观点:)正文RFI引出我们知道php最危...

12月11日118 views评论

阅读全文

代码审计

PHP编码安全：上传文件安全

转自：计算机与网络安全在Web系统中，允许用户上传文件作为一个基本功能是必不可少的，如论坛允许用户上传附件，多媒体网站允许用户上传图片，视频网站允许上传头像、视频等。但如果不能正确地认识到上传带来的风...

12月11日133 views评论

阅读全文

安全开发

聊聊 Jmeter 如何并发执行 Python 脚本

这是「进击的Coder」的第 522 篇技术分享作者：星安果来源：AirPython“ 阅读本文大概需要 9 分钟。 ”1. 前言最近有小伙伴后台给我留言，说自己用 Django 写了一个大...

12月08日144 views评论

阅读全文

代码审计

【代码审计】0开始学习之bluecms②

0X00前言闲来无事我去cnvd逛了逛这cms有啥洞便于挖掘，接下来文章继续0x01正文1.任意文件删除(publish.php)第一个在publish.php重点在@unlink上所以说，这里存在一...

12月07日87 views评论

阅读全文

安全文章

过杀软落地（执行）文件

虽然有很多无文件落地的方案，但是实际渗透过程中难免会遇到需要落地文件、执行文件的过程。所以收集了一些落地文件的方法，有一些很常规的但是一定有你没见过的。...

12月04日423 views评论

阅读全文

CMS审计:任意文件删除->RCE

ThinkPHP5.1文件上传漏洞攻击与漏洞修复攻防实验

【日志取证】

Qu1cksc0pe：多合一恶意软件分析工具

使用TScopy访问已锁定的文件

Grafana 未授权任意文件读取

文件包含利用思路

RFI绕过URL包含限制Getshell

PHP编码安全：上传文件安全

聊聊 Jmeter 如何并发执行 Python 脚本

【代码审计】0开始学习之bluecms②

过杀软落地（执行）文件

在线咨询

微信