利用链 | CN-SEC 中文网

安全文章

从XSS到RCE的PC端利用链构建

前言先铺垫一下。笔者有一个习惯，懒得记各种命令和payload，手工渗透测试时，遇到比较长的payload的情况下，不想一个一个地去手敲命令，于是我之前就在github上想寻找一个类似于记事本的软件，...

05月16日20 views评论

阅读全文

代码审计

Java利用链URLDNS分析及利用

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！文章有疑问的，可以公众号发消息...

05月15日12 views评论

阅读全文

安全文章

深入解析Visual Studio反序列化零点击代码执行漏洞，实现 100% 稳定复现

我在过去写过一篇文章（https://crackme.net/articles/resln/ ），介绍了这个反序列化代码执行漏洞，但是懒没有深入研究，也不知道为什么不是所有项目类型都生效今天有人来问我...

05月11日10 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/5/4】

2025-05-04 微信公众号精选安全技术文章总览洞见网安 2025-05-04 0x1 FastJSON × JdbcRowSetImpl 利用链是否还有效？全面解析如何突破 JDK 安全限制季升...

05月05日13 views评论

阅读全文

FastJSON × JdbcRowSetImpl 利用链是否还有效？全面解析如何突破 JDK 安全限制

☣️ FastJSON × JdbcRowSetImpl 反序列化利用分析📌 一、类简介：JdbcRowSetImpl全类名：com.sun.rowset.JdbcRowSetImplJDK 自带类（...

05月05日安全文章9 views评论

阅读全文

安全新闻

Craft CMS RCE利用链用于窃取数据

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士Orange Cyberdefense 公司提到，Craft CMS 中存在两个漏洞，可用于攻陷服务器和窃取数据。这两个漏洞是由 Orange C...

04月27日32 views评论

阅读全文

代码审计

【代码审计】记某次项目前台反序列化RCE漏洞研究

点击上方蓝字关注我们并设为星标0x01 过程一套涉Zha的系统，名字就不给出了，貌似用的人还挺多.该项目框架:ThinkPHP 5.0.24 Debug:True翻遍了所有代码，上传点都限制的比较死...

04月21日14 views评论

阅读全文

代码审计

如何从 0 在不断调试中挖掘一条新利用链

前言在挖掘在 hutool 组件的漏洞的时候，尝试构造利用 POC 的时候并不是那么顺利，最后也是一步一步不断调试分析构造出了我们的 POC失败的调用起源在一次失败的调用import cn.hutoo...

04月14日14 views评论

阅读全文

安全文章

JDBC注入无外网（上）：从HertzBeat聊聊SnakeYAML反序列化

上周日联合@Ar3h 师傅一起，在【代码审计知识星球】里发布了一个Springboot的小挑战：https://t.zsxq.com/tSBBZ，这个小挑战的核心目标是在无法连接外网的情况下，如何利用...

04月10日10 views评论

阅读全文

安全新闻

疑似NSA网攻行动曝光：神秘零日漏洞利用链目标针对俄媒体科研机构

卡巴斯基日前披露一起尖端的网攻行动，受害者点击定向钓鱼邮件中的链接，该页面暗藏零日漏洞利用代码，可远程绕过Chrome浏览器的沙盒保护机制，结合另一个未知漏洞即可实现远程代码执行，控制受害者的设备；根...

04月02日14 views评论

阅读全文

安全工具

第117篇：ysoserial反序列化漏洞利用工具修改版，支持JDK1.5老旧系统

Part1 前言大家好，我是ABC_123。好久没有更新红队技术方面的文章了，自己之前写了很多小工具，后续修正一些bug修改后，陆续放出来给大家用一用。Ysoserial是老外写的java反序列...

03月16日23 views评论

阅读全文

安全新闻

谷歌修复已遭利用的安卓0day

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士谷歌发布安卓3月安全更新，修复了43个漏洞，包括已遭利用的两个0day。塞尔维亚当局利用位于Human Interface Devices Linux...

03月06日25 views评论

阅读全文

在线咨询

微信