声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 &nb...
09月05日12 views评论文件上传
通配符
记录一次有趣的文件上传
09月05日12 views评论文件上传
通配符
09月05日12 views评论文件上传
通配符
CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析
漏洞介绍 Openfire是一个实时协作(RTC)服务器,编写于Java,它使用唯一被广泛采用的即时通讯开放协议XMPP,并提供Web管理界面。 Openfire的API定义了一种机制,允许使用通配符...
06月28日112 views评论filter
param
炼狱之门:命令执行漏洞解析与应对策略
漏洞原理 命令执行漏洞是指攻击者通过注入恶意命令来执行非预期的操作;简单来说就是没有对用户输入的内容充分的验证或过滤,而直接带入到命令执行函数中当成系统化命令被执行。以Python代码为例,举个简单的...
05月15日34 views评论os
命令
通配符 Bypass
Linux权限提升—定时任务、环境变量、权限配置、数据库等提权
0.前言由于部分文章之前投稿给其它公众号导致,目前我只能采用转载,所以无法加入合集,在公众号的聊天界面如果没有想要的文章,可以去历史文章中看看。抱歉!!!!😭0.1.免责声明传播、利用本公众号剁椒鱼头...
04月26日72 views评论C语言
exploit
阿里云WAF3.0命令执行Bypass,也是WAF的通病
引用 针对外面的流言,我引用柏拉图的《爱情海》的一句话:如果尖锐的批评完全消失,温和的批评将会变得刺耳。如果温和的批评也不被允许,沉默将被认为居心叵测。如果沉默也不再允许,赞扬不够卖力将是一种罪行。如...
04月20日94 views评论云waf
阿里
【人云亦云】阿里云WAF绕过,仅供参考,实测长亭WAF可拦截
本文使用linux 通配符“?”,绕过阿里云WAF3.0的规则检测。该方法因为独有的特性,基本所有的WAF都可以bypassWAF针对通配符的处置并不会有很好的办法,WAF接受使用通配符?,绕过拦截c...
04月20日105 views评论ls
字符
【干货分享】Linux权限提升—定时任务、环境变量、权限配置、数据库等提权
由于微信公众号推送机制改变了,快来星标不再迷路!Part1前言在上篇文章中提到了Linux权限提升之前的信息收集操作,这里就不在赘述,在前言中讲上篇文章为提到的内容进行补充,至于其它内容可参考上篇文章...
04月09日67 views评论exploit
权限提升
【漏洞通告】Spring MVC 通配符绕过漏洞(CVE-2023-20860)
暴力破解的工具 Gobuster
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负...
01月30日167 views评论gobuster
暴力破解
从网站证书中提取域名的方法
现在越来越多的网站都启用了 HTTPS,而启用 HTTPS 需要首先申请证书,证书签发需要指定域名,有的是通配符域名,比如 *.xazlsec.com,这类证书可以用于该域名下的所有的子域,还有些是单...
11月08日97 views评论端口
网站
什么是ACL访问控制列表原理?
ACL概述ACL(Access Control List)是由一系列规则组成的集合,通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。网络中的设备相互通信时,需要保障网络传输的安全...
06月08日52 views评论protocol
通配符
3