漏洞点 | CN-SEC 中文网

安全工具

Java反序列化绕WAF tricks及一个GUI工具

byname的博客-java反序列化绕waf-tricks及一个gui工具学过Java,php序列化知识的师傅们都知道，Java的序列化流格式相比于PHP序列化流格式要复杂许多，以至于...

01月17日11 views评论

阅读全文

安全文章

快排cms漏洞合集 POC

一.漏洞背景某排CMS是开源免费的PHP企业网站制作、建设、开发、优化SEO管理系统，是一套高效、简洁、强悍的PHP CMS源码，gitee.com里面有源码可以自己下载搭建漏洞点信息泄露漏洞...

12月28日12 views评论

阅读全文

安全漏洞

H2 JNDI注入

漏洞点在org.h2.util#getConnection方法下载地址：https://github.com/h2database/h2database/releases/tag/version-1....

11月10日13 views评论

阅读全文

代码审计

RapidCMS 1.3.1代码审计（超多漏洞点）

影响版本：RapdiCMS(1.3.1版本)下载地址：https://github.com/OpenRapid/rapidcms未授权登录存在未授权访问1、使用burp抓包，查找登录接口代码文件使用p...

11月01日41 views评论

阅读全文

安全文章

20241026集训挨打记录

前言cms是站帮主，之前没打过，D盾啥也没扫出来，还寻思是个贼安全的系统，结果洞满天飞前台RCE代码审计这个洞主要是由/cms/cms/admin/run_ajax.php文件引起的原因就是此处可以写...

10月27日8 views评论

阅读全文

代码审计

记一次审计某站泄露的源码

原文首发在：先知社区https://xz.aliyun.com/t/15886某次源码泄露审计时，易优CMS老版本的任意文件删除突然就出现了，漏洞点一到四为一套thinkphp框架的源码，漏洞点五为易...

10月21日16 views评论

阅读全文

安全文章

xx学院漏洞挖掘

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删...

10月08日8 views评论

阅读全文

安全文章

某中医药大学xx学院漏洞挖掘

010x01漏洞描述本文章主要来资产所在网段：互联网。记录某中医药大学xx学院的完整渗透过程从信息泄露开始循序渐进的进行挖掘，中途发现多个此站点存在的漏洞，包括（未授权访问、水平越权以及存储型xss...

08月14日26 views评论

阅读全文

代码审计

教育行业hw某系统代码审计

fofa目标挺多的都是各大高校。rce点1，该系统引入了帆软。有帆软漏洞的可以以此为入口打。漏洞点2存在ueditor该版本是存在ssrf的rce点3，可以很明显的看到sql注入使用+拼接了从前端转递...

05月30日31 views评论

阅读全文

安全工具

挖洞宝藏工具：Google Dorks Bug Bounty

导言：在当今数字时代，网络安全已经成为不可忽视的重要议题。为了确保信息安全，各大企业和组织纷纷投入大量资源进行漏洞挖掘，而Bug Bounty正是其中备受瞩目的一项活动。在这个过程中，Google D...

12月14日96 views评论

阅读全文

安全百科

【Web渗透】业务逻辑漏洞

身份验证漏洞暴力破解漏洞漏洞介绍：攻击者可以通过该漏洞获取用户名和对应弱口令密码，并进行登录操作漏洞原理：由于没有设置登录失败次数限制，导致攻击者可以通过口令字典进行特定用户的密码爆破或通过用户名字...

12月13日28 views评论

阅读全文

安全文章

记一次对某个985证书站大学的漏洞挖掘

免责声明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。由于传播、利用本公众号所发布的而造成的...

06月21日141 views评论

阅读全文

Java反序列化绕WAF tricks及一个GUI工具

快排cms漏洞合集 POC

H2 JNDI注入

RapidCMS 1.3.1代码审计（超多漏洞点）

20241026集训挨打记录

记一次审计某站泄露的源码

xx学院漏洞挖掘

某中医药大学xx学院漏洞挖掘

教育行业hw某系统代码审计

挖洞宝藏工具：Google Dorks Bug Bounty

【Web渗透】业务逻辑漏洞

记一次对某个985证书站大学的漏洞挖掘

在线咨询

微信