alibaba - 第 2 | CN-SEC 中文网

安全文章

打穿云上内网

“ 想全是问题，做全是答案！”再帮学校的某系统做测试的时候，发现泄露了osskey,虽然之前也有发现过但都没有深入利用，此次正好深入利用一下，扩展一下自己的知识面。01—发现osskey 在对该...

11月11日15 views评论

阅读全文

安全工具

漏洞检测框架 - Meppo

01 项目地址 https://github.com/WingsSec/Meppo 02 项目介绍漏洞检测框架 Meppo，包括致远OA、 Drupal、泛微OA、Weblogic等漏洞【Payl...

10月09日41 views评论

阅读全文

安全工具

[工具篇] CF云环境利用工具推荐

喜欢就关注我吧，订阅更多最新消息CF工具介绍CF 是一个云环境利用框架，适用于在红队场景中对云上内网进行横向、SRC 场景中对 Access Key 即访问凭证的影响程度进行判定、企业场景中对自己的云...

10月07日60 views评论

阅读全文

安全文章

记一次实战中对fastjson waf的绕过

最近遇到一个fastjson的站，很明显是有fastjson漏洞的，因为@type这种字符，fastjson特征很明显的字符都被过滤了.于是开始了绕过之旅，顺便来学习一下如何waf。文章作者：先知社区...

09月21日88 views评论

阅读全文

安全开发

Fastjson反序列化利用链分析

一实验环境◆jdk1.8◆windows10pom依赖 <dependency> <groupId>com.alibaba</groupId> <artifa...

08月31日22 views评论

阅读全文

安全工具

Nacos JRaft 任意文件读写利用工具

0x01 工具获取https://github.com/mssky9527/NacosFileReadWrite 0x02 描述 com.alibaba.nacos.core.storage.kv.F...

08月29日79 views评论

阅读全文

安全文章

nacos_后台rce分析

环境搭建适用 vulhub这个项目来启动漏洞环境vulhub的nacos版本是 1.4.0，通过github下载源代码https://github.com/alibaba/nacos/tree/1.4...

07月29日50 views评论

阅读全文

安全漏洞

阿里 NACOS 远程命令执行漏洞

一、漏洞描述 NACOS是一个开源的服务发现、配置管理和服务治理平台，属于阿里巴巴的一款开源产品。 Nacos 更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代...

07月16日191 views评论

阅读全文

安全漏洞

Alibaba AnyProxy fetchBody 任意文件读取漏洞

===================================免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负...

05月19日34 views评论

阅读全文

安全职场

面试官：如何绕过针对FastJSON漏洞Payload的WAF规则

当面试官对你发起灵魂之问：如何绕过针对fastjson漏洞payload的WAF规则。如果此时你双手一摊，一脸懵逼那么可以肯定的是，你面试肯定挂了，如果你只知道老掉牙的URL编码、双写、大小写等方式，...

05月19日48 views评论

阅读全文

代码审计

FastJson原生反序列化链

0x01 前言好久不见，此次分析源于一次fastjson实战，遇到了其他链打不了，发现原生的链可以打，本着知其然，必要知其所以然的态度，做了一次学习复现，留做笔记。0x02 漏洞分析01 环境搭建老规...

02月26日30 views评论

阅读全文

移动安全

微信小程序漏洞之accesskey泄露

✎ 阅读须知本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！ 1. Accesskey泄露漏洞这篇文章里面都是以我个人的视角来进行的，因为一些原因，中间删了好多东西，肯定...

02月09日56 views评论

阅读全文

在线咨询

微信