实例化 | CN-SEC 中文网

代码审计

导致Log4j Rce的JNDI注入

前言记前奏，复现分析了史诗级漏洞Log4j Rce漏洞，并且搞明白了调用链，发现后面是利用的JNDI注入漏洞，问了其他师傅，其他好多漏洞都是因为这个漏洞。为了总结完美一点，一定要补上本文，熟悉...

01月03日17 views评论

阅读全文

大白话聊聊数据库安全技术——多实例化

这里讲的多实例化，是一种数据库设计技术，它允许插入相同唯一标识信息的多条记录。这听起来可能有点奇怪，因为通常我们认为唯一标识（比如学号、员工ID等）应该是独一无二的，不是吗？但有时候有的数据有敏感信息...

12月18日安全闲碎23 views评论

阅读全文

安全文章

JS逆向系列09-Js Hook

0x00 前言缘起是我前两天看了一篇逆向文章，里面用到了一段hook脚本，在这之前我是不理解hook是什么东西，看了那段脚本后我突然就悟了，遂写下这篇文章分享一下个人心得。注：本文不会太深入js ho...

11月06日28 views评论

阅读全文

安全文章

使用 Joern 查找用于利用 Java 中 Unsafe Reflection 漏洞的类

在一次渗透测试中，我们发现一个 Java 应用程序存在不安全反射漏洞 [1]。此应用程序允许我们实例化任意类，并将受控字符串作为参数传递给其构造函数。当我们意识到应用程序使用的依赖项时，我们提出了以下...

10月04日43 views评论

阅读全文

安全文章

通过 EXCEL.APPLICATION 和 DCOM 进行横向移动

本文仅用于技术研究学习，请遵守相关法律，禁止使用本文所提及的相关技术开展非法攻击行为，由于传播、利用本文所提供的信息而造成任何不良后果及损失，与本账号及作者无关。关于无问社区无问社区致力于打造一个面向...

07月17日7 views评论

阅读全文

安全工具

内网渗透瑞士军刀-impacket工具解析（九）

DCOM介绍DCOM 是 COM 的扩展，它允许应用程序使用基于 DCERPC 的 DCOM 协议与远程计算机上的 COM 对象进行通信并使用它们，就像它们在本地一样。有关每个 COM（和 DCOM）...

03月01日48 views评论

阅读全文

安全漏洞

Apache ActiveMQ远程代码执行漏洞

项目简介Apache ActiveMQ是最流行的开源、多协议、基于 Java 的消息代理。它支持行业标准协议，用户可以从多种语言和平台的客户端使用AMQP协议集成多平台应用程序。厂商信息https:/...

02月16日27 views评论

阅读全文

安全漏洞

CVE-2023-41892 Craft-CMS-远程代码执行漏洞

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

01月15日156 views评论

阅读全文

代码审计

记一次完整的PHP代码审计——yccms v3.4审计

一、环境搭建与使用工具（一）环境搭建打开源码查看安装要求PHP 5.4+，Mysql 5.0.*，直接使用phpstudy配置即可查看源码目录结构，发现是mvc模式的，那么我们重点关注的就是contr...

05月09日53 views评论

阅读全文

安全文章

【干货分享】WebSphere内存马分析

网安教育培养网络安全人才技术交流、学习咨询目录环境部署分析Filter编写内存马1、获取到WebAppFilterManager对象2、实例化恶...

04月26日67 views评论

阅读全文

安全文章

Thinkphp3.2.3 SQL注入总结

下载：ThinkPHP3.2.3完整版 - ThinkPHP框架配置 ThinkPHP/Conf/convention.php配置下数据库，我这里直接用的sqllabs的数据库写个查询入口Appl...

03月12日45 views已关闭评论

阅读全文

安全文章

从漏洞与ctf中学习webshell的免杀

目录0x00 前置知识1.php的哪些漏洞可以在webshell上面做文章？2.反序列化在webshell中的利用0x02 实际测试1.很简单的免杀，针对某盾奇效2.ctf的实例绕过重点来了，goto...

01月09日26 views评论

阅读全文

导致Log4j Rce的JNDI注入

大白话聊聊数据库安全技术——多实例化

JS逆向系列09-Js Hook

使用 Joern 查找用于利用 Java 中 Unsafe Reflection 漏洞的类

通过 EXCEL.APPLICATION 和 DCOM 进行横向移动

内网渗透瑞士军刀-impacket工具解析（九）

Apache ActiveMQ远程代码执行漏洞

CVE-2023-41892 Craft-CMS-远程代码执行漏洞

记一次完整的PHP代码审计——yccms v3.4审计

【干货分享】WebSphere内存马分析

Thinkphp3.2.3 SQL注入总结

从漏洞与ctf中学习webshell的免杀

在线咨询

微信