通配符 - 第 2 | CN-SEC 中文网

安全文章

Linux权限提升（基础到高级）0x3

查看本系列的第一部分《Linux权限提升（基础到高级）0x1》和第二部分《Linux权限提升（基础到高级）0x2》。在本系列的这一部分中，我将介绍另外 3 种技术，格式与上一部分相同。首先是一些理论，...

09月21日14 views评论

阅读全文

安全文章

记录一次有趣的文件上传

声明该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。 &nb...

09月05日12 views评论

阅读全文

安全文章

CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析

漏洞介绍 Openfire是一个实时协作（RTC）服务器，编写于Java，它使用唯一被广泛采用的即时通讯开放协议XMPP，并提供Web管理界面。 Openfire的API定义了一种机制，允许使用通配符...

06月28日114 views评论

阅读全文

安全文章

炼狱之门：命令执行漏洞解析与应对策略

漏洞原理命令执行漏洞是指攻击者通过注入恶意命令来执行非预期的操作；简单来说就是没有对用户输入的内容充分的验证或过滤，而直接带入到命令执行函数中当成系统化命令被执行。以Python代码为例，举个简单的...

05月15日34 views评论

阅读全文

安全文章

通配符 Bypass

如果有 WAF 或过滤器来阻止 RCE 和 LFI，您可以通过 globbing 绕过它。/usr/bi...

05月05日40 views评论

阅读全文

安全文章

Linux权限提升—定时任务、环境变量、权限配置、数据库等提权

0.前言由于部分文章之前投稿给其它公众号导致，目前我只能采用转载，所以无法加入合集，在公众号的聊天界面如果没有想要的文章，可以去历史文章中看看。抱歉！！！！😭0.1.免责声明传播、利用本公众号剁椒鱼头...

04月26日72 views评论

阅读全文

安全文章

阿里云WAF3.0命令执行Bypass，也是WAF的通病

引用针对外面的流言，我引用柏拉图的《爱情海》的一句话：如果尖锐的批评完全消失，温和的批评将会变得刺耳。如果温和的批评也不被允许，沉默将被认为居心叵测。如果沉默也不再允许，赞扬不够卖力将是一种罪行。如...

04月20日94 views评论

阅读全文

安全文章

【人云亦云】阿里云WAF绕过，仅供参考，实测长亭WAF可拦截

本文使用linux 通配符“？”，绕过阿里云WAF3.0的规则检测。该方法因为独有的特性，基本所有的WAF都可以bypassWAF针对通配符的处置并不会有很好的办法，WAF接受使用通配符?，绕过拦截c...

04月20日108 views评论

阅读全文

安全工具

【干货分享】Linux权限提升—定时任务、环境变量、权限配置、数据库等提权

由于微信公众号推送机制改变了，快来星标不再迷路！Part1前言在上篇文章中提到了Linux权限提升之前的信息收集操作，这里就不在赘述，在前言中讲上篇文章为提到的内容进行补充，至于其它内容可参考上篇文章...

04月09日68 views评论

阅读全文

安全新闻

【漏洞通告】Spring MVC 通配符绕过漏洞(CVE-2023-20860)

>>>> 漏洞名称：Spring MVC 通配符绕过漏洞(CVE-2023-20860)>>>> 组件名称：Spring MVC&g...

03月22日144 views评论

阅读全文

安全工具

暴力破解的工具 Gobuster

===================================免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负...

01月30日167 views评论

阅读全文

安全文章

从网站证书中提取域名的方法

现在越来越多的网站都启用了 HTTPS，而启用 HTTPS 需要首先申请证书，证书签发需要指定域名，有的是通配符域名，比如 *.xazlsec.com，这类证书可以用于该域名下的所有的子域，还有些是单...

11月08日101 views评论

阅读全文

在线咨询

微信