临时文件 | CN-SEC 中文网

代码审计

Java利用无外网（下） - ClassPathXmlApplicationContext的不出网利用

我在《Java利用无外网（上）：从HertzBeat聊聊SnakeYAML反序列化[1]》末尾留了一个问题，也是「代码审计知识星球[2]」里发布的Springboot Code-Breaking 20...

05月30日8 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/4/25】

2025-04-25 微信公众号精选安全技术文章总览洞见网安 2025-04-25 0x1 Tomcat Multipart类型参数处理安全之道 2025-04-25 23:04:59 本文详细分析了...

05月26日18 views评论

阅读全文

文件包含漏洞：一场网络安全的谍影重重？

一、文件包含漏洞：不止是“偷梁换柱”那么简单说起网络安全漏洞，文件包含绝对算得上一个“老油条”。但你以为它只是简单地把恶意代码塞进服务器？Too naive！这玩意儿，本质上就是一场精心策划的“谍战”...

05月26日安全文章21 views评论

阅读全文

安全文章

从JDBC MySQL不出网攻击到spring临时文件利用

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

04月28日32 views评论

阅读全文

应急响应

蓝队第2篇 | Weblogic反序列化攻击不依赖日志溯源攻击时间

Part1 前言 WebLogic是美国Oracle公司出品一款中间件产品，在国内使用也比较广泛。从2015年开始至今，接连爆出过10几个可直接利用的Java反序列化漏洞，相关漏洞的原理也越来越复杂...

02月15日50 views评论

阅读全文

安全文章

无数字字母Remote Command Execution

无数字字母Remote Command Execution前言Remote Code Execution和Remote Command Execution在无数字字母的条件下解法完全不同。代码执行还可...

11月24日13 views评论

阅读全文

代码审计

某OA代码审计过程

此OA听过，但从来没有去研究过，所以简单分析研究一下，发现此OA并不复杂且因为闭源的原因所以分析起来比较轻松。模板注入查看JSP文件通过Template名字或者一些代码信息能够发现是以模板的形式进...

11月21日18 views评论

阅读全文

安全文章

渗透测试中的神秘工具：掌握自删除文件技巧

大家好,我是v浪。今天,我们来深入探讨一个看似简单却蕴含深意的Linux技巧:如何创建自删除文件。这个技巧不仅能让我们的系统保持整洁,还能在安全运维和渗透测试中发挥意想不到的作用。让我们一起揭开自删除...

09月21日43 views评论

阅读全文

安全工具

【工具免杀】SharpWeb -Google篇

工具介绍 SharpWeb 是一个浏览器数据（密码|历史记录|Cookie|书签|下载记录）的导出工具，支持主流浏览器。下载 https://github.com/Sta...

08月05日96 views评论

阅读全文

应急响应

应急响应 | php临时文件写入webshell排查

最近遇到一个应急响应事件，服务器tmp目录被写入多个php临时文件，内容为php webshell文件，触发EDR告警；初时疑惑，但第一感觉不是真实攻击，因为写入的目录不对。搜到这篇文章后豁然开朗，...

05月27日53 views评论

阅读全文

代码审计

[代码审计] 某多语言抢单刷单系统

请遵守法律法规，合法冲浪本文仅作知识分享用一切直接或间接由于本文所造成的后果与本人无关写在前面看个乐呵系统简介基于thinkPHP，thinkadmin开发的多语言海外抢单刷单系统。开发语言：PHP开...

04月23日84 views评论

阅读全文

安全文章

网络安全工程师必知的系统敏感目录

点击兰花豆说网络安全，了解更多网络安全知识在网络安全应急响应过程中，对系统进行整体的安全排查至关重要。恶意文件往往隐藏在系统的一些敏感目录中，因此，了解这些目录对于提高恶意文件排查的效率至关重要。这些...

04月20日91 views评论

阅读全文

在线咨询

微信