文件上传 - 第 10 | CN-SEC 中文网

安全开发

从零构建一个基于PHP和MySQL的文件管理系统

本文将详细介绍如何从零构建一个基于PHP和MySQL的文件管理系统，分解项目代码并剖析每个模块的功能。我们将以index.php、config.php和api.php这三个核心文件为例，详细展示如何设...

12月02日5 views评论

阅读全文

安全文章

HTB-Chemistry靶机渗透，CVE-2024-23334系统目录遍历，导致权限提升

~ 两个人挺好，一个人也不错。 ~Goby2024红队版工具分享，附2024年漏洞POC下载谁的能拒绝这样一款终端呢？靶机image-20241125150033245靶机渗透首页image-2024...

11月26日21 views评论

阅读全文

安全文章

无数字字母Remote Command Execution

无数字字母Remote Command Execution前言Remote Code Execution和Remote Command Execution在无数字字母的条件下解法完全不同。代码执行还可...

11月24日8 views评论

阅读全文

安全文章

记一次某SRC的漏洞挖掘过程|挖洞技巧

0x01 前言通过对目标公司及其相关子域名资产的深入测试，发现多个漏洞：文件上传导致敏感信息泄露（STS授权信息）、小说网站用户越权访问漏洞（批量枚举用户信息）、未授权接口访问与反射型...

11月21日12 views评论

阅读全文

安全工具

Exp-Tools 集成高危漏洞exp的实用性工具

01工具介绍该工具使用了ExpDemo-JavaFX项目，保留了核心的数据包请求接口，使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列，对相关漏洞进行复现和分析，极...

11月21日33 views评论

阅读全文

代码审计

某景人力系统文件上传分析

某景人力系统文件上传分析起因是微信上刷到了如下文章，作为为数不多看过源码的系统，好奇心瞬间拉满，去年也发过一篇关于这个系统的文章，但都是些价值不大的漏洞，详情见公众号之前的文章《鸡肋文件上...

11月21日13 views评论

阅读全文

安全文章

记录一次WebShell免杀

哎，文件上传WebShell传上去就被杀，无奈开始手搓WebShellPHP环境直接本地测试吧写完还是比较成功的蚁剑链接：哥斯拉链接：查杀：D盾阿里WebShell检测完美上线解决问题，写报告提交感谢...

11月19日42 views评论

阅读全文

安全工具

集成高危漏洞exp的实用性渗透工具

01 工具介绍该工具使用了ExpDemo-JavaFX项目，保留了核心的数据包请求接口，使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列，对相关漏洞进行复现和分析，极力避免exp...

11月18日27 views评论

阅读全文

安全工具

用友漏洞一键探测利用

项目地址；https://github.com/Chave0v0/YONYOU-TOOL 有release 开源支持漏洞 ActionHandlerServlet 反序列化 Lfw_Core_Rpc...

11月14日65 views评论

阅读全文

安全文章

【学习笔记】文件上传的漏洞介绍及常见防御方法V1.0

网安教育培养网络安全人才技术交流、学习咨询01文件上传漏洞原理在文件上传的功能处，若服务端脚本语言未对上传的文件进行严格验证和过滤，导致恶意用户上传恶意的脚本文件时，就有可能获取执行服务端命令的能力，...

11月13日35 views评论

阅读全文

安全文章

一次无效的JAVA任意文件上传审计

一、前言还是一位师傅联系到我，让我查看一个源码，说有一个文件上传没绕过去，帮他审计审计，于是有了下文。二、审计过程其实就是一个上传点没有绕过去，我们可以看下图：在这里可以看到位于...

11月13日8 views评论

阅读全文

安全漏洞

H3C CVM fileUpload/fd文件上传限制不当漏洞

漏洞描述:H3C CVM cas/fileUpload/fd接口任意文件上传漏洞Poc已公开,未授权的攻击者可以上传任意文件,获取webshell控制服务器权限,读取敏感信息等,官方已针对此漏洞发布漏...

11月12日33 views评论

阅读全文

在线咨询

微信