黑名单 | CN-SEC 中文网

安全文章

实战|文件上传绕过的一次思路总结学习（两个上传点组合Getshell）

这是朋友的一个渗透测试的项目，有个上传的黑名单，我就试了一下，本文章是一边测试一边记录的，对于一些知识点总结的不全，只是提供了一个渗透中碰到上传的思路，文章无排版，是笔记的形式做记录。一丶测试上传正常...

03月19日3 views已关闭评论

阅读全文

安全文章

8个WAF绕过

名称： Cloudflare 有效负载： <a/href=Java%0a%0d%09script&colon;alert()>click 绕过技术：数字字符编码名...

03月18日8 views评论

阅读全文

安全闲碎

为WAF黑名单中的IP设置过期时间

IP地址总是具有时效性，彼时的恶意IP过一段时间后，或许便会变成正常的IP；及时删除黑名单中的IP可以减少误拦截、释放资源、降低维护成本。谢谢小石、LzSkyline、柚子的见解，收获很多。什么时候删...

03月14日11 views评论

阅读全文

安全文章

文件上传漏洞总结

漏洞介绍文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。一般都是指“上传Web脚本能够被服务器解析”的问题。漏洞详解我们的测试平台：upload_l...

03月12日8 views已关闭评论

阅读全文

代码审计

PHP代码审计-某cms逻辑漏洞导致getshell

文章首发在：奇安信攻防社区https://forum.butian.net/share/2142前言如果存在exec进行拼接的漏洞，该如何绕过 <mark>一黑俩匹配 &...

02月28日24 views评论

阅读全文

安全文章

【文件上传】关于涉及到时间和随机数路径爆破的问题

0x01 🌸简介不光是文件上传漏洞，所有漏洞都是这样，一定要去看源码，因为光会利用是没有用的，只要改了源码，那么利用方式就会千变万化，但是源码万变不离其宗，就那么几下一旦源码看多了，其实有时候看前台就...

02月24日6 views评论

阅读全文

新浪微博批量拉黑/解除拉黑脚本(2)

创建: 2023-02-16 14:26更新: 2023-02-19 16:30目录: ☆ 背景介绍 &nbs...

02月20日安全工具34 views评论

阅读全文

代码审计

php代码审计案例之Bluecms(一）

前言所谓代码审计是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。在安全领域，为了发现安全问题，常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题，代码审计就是...

02月17日11 views评论

阅读全文

安全文章

【漏洞浅谈】任意文件上传详解

点击关注公众号，知识干货及时送达👇01漏洞原理文件上传漏洞是指用户上传了一个可执行的脚本文件（php、jsp、xml、cer等文件），而WEB系统没有进行检测或逻辑做的不够安全。文件上传功能本身没有问...

02月16日12 views评论

阅读全文

安全工具

多功能BurpSuite漏洞探测插件—TsojanScan

TsojanScan 一个集成的BurpSuite漏洞探测插件 First 本着市面上各大漏洞探测插件的功能比较单一，因此与TsojanSecTeam成员决定在已有框架的基础上修改并增加常用的漏洞探...

02月15日33 views评论

阅读全文

安全文章

黑名单绕过 Ruoyi-All（若依）

一、工具介绍前几天审的若依的后台定时任务黑名单绕过漏洞，整合了一个小工具，提供了几个功能：1、低版本直接snakeyaml rce2、高版本利用jdbcTemplate执行sql语句，在。师傅的提醒...

01月07日69 views评论

阅读全文

代码审计

php代码审计案例之SQLI

所谓代码审计是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。在安全领域，为了发现安全问题，常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题，代码审计就是白盒测试的常用方法...

01月06日3 views评论

阅读全文