0x01 前言好久不见,此次分析源于一次fastjson实战,遇到了其他链打不了,发现原生的链可以打,本着知其然,必要知其所以然的态度,做了一次学习复现,留做笔记。0x02 漏洞分析01 环境搭建老规...
微信小程序漏洞之accesskey泄露
✎ 阅读须知 本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!! 1. Accesskey泄露漏洞 这篇文章里面都是以我个人的视角来进行的,因为一些原因,中间删了好多东西,肯定...
ALIBABA CLOUD SUMMIT HONG KONG 2023
原文始发于微信公众号(安世加):ALIBABA CLOUD SUMMIT HONG KONG 2023
Jpress 远程代码执行漏洞挖掘
0x01 JPress 简介 JPress 是一个使用 Java 开发的、开源免费 的建站神器,灵感来源于 WordPress,目前已经有超过 10w+ 的网站使用 JPress 搭建,其...
6 款免费 WAF 的测试报告
前言 免责声明:涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透。否则产生的一切后果自行承担! 该渗透测试项目为已授权项目,本文已对敏感部分做了相关处理。 lavarel框架配置...
云环境利用框架(Cloud exploitation framework)主要用来方便红队人员在获得 AK 的后续工作。
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
攻防演练 | 渗透测试云上初体验
前言免责声明:涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透。否则产生的一切后果自行承担!该渗透测试项目为已授权项目,本文已对敏感部分做了相关处理。lavarel框架配置不当导...
Alibaba Canal config云密钥信息泄露
人处在一种默默奋斗的状态,精神就会从琐碎生活中得到升华。漏洞描述由于/api/v1/canal/config 未进行权限验证可直接访问,导致账户密码、accessKey、secretKey等一系列敏感...
攻防演练:渗透测试云上初体验
前言免责声明:涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透。否则产生的一切后果自行承担!该渗透测试项目为已授权项目,本文已对敏感部分做了相关处理。lavarel框架配置不当导...
获取Alibaba Nacos控制台管理权限
人活着,就得随时准备经受磨难。他已经看过一些书,知道不论是普通人还是了不起的人,都要在自己的一生中经历许多磨难。磨难使人坚强。漏洞复现访问漏洞url输入默认账号密码:nacos/nacos成功获取Al...
Alibaba Nacos未授权添加用户
生活包含着更广阔的意义,而不在于我们实际得到了什么;关键是我们的心灵是否充实。漏洞复现访问漏洞url使用上一篇文章所分享的手法,获取Alibaba Nacos控制台管理权限,记录登录后的一些页面,构造...
FastJson1.2.80漏洞浅析
扫码领资料获黑客教程免费&进群随漏洞环境内容来自@浅蓝的HackingJson议题,本篇文章以理清漏洞思路为主,分为两部分来讲。以下是基于fastjson1.2.80 + ...