argument - 第 2 | CN-SEC 中文网

安全文章

SSTI-Tornado

SSTI-Tornado01先·河 Tornado就是一个python的web服务框架。一个简单的服务：import tornado.ioloop, tornado.web class ...

09月14日17 views评论

阅读全文

安全博客

祥云杯 2022 By W&M

WEB ezjava FunWEB RustWaf Crypto tracing fermat MISC BearParser strange_forensics lena RE engtom roc...

09月13日16 views评论

阅读全文

安全文章

htb打靶记录-SolarLab

今天要挑战的是htb的SolarLab靶场首先使用nmap进行扫描访问80端口得到3个用户然后继续访问发现有框，进行了xss、注入操作无果然后有一个登录页面，弱口令尝试无果然后通过smb扫描发现了一个...

07月14日22 views评论

阅读全文

安全文章

PHP-CGI-Argument-Injection 默认配置打法[CVE-2024-4577]

复现图既然MSF Commit公开了打默认配置的方法也就没啥好藏的了，好像有好几个开源项目已经公开了。 GET /php-cgi/php-cgi.exe?%ADd+cgi.force_redirec...

06月08日44 views评论

阅读全文

安全新闻

利用 N-day 漏洞攻击所有网站：第 1 部分 - Chrome 渲染器 RCE

这篇博文是有关我们在X上演示的 N-day 全链漏洞利用中使用的漏洞系列文章的第一篇。在这篇博文中，我们从 Chrome 渲染器漏洞开始，这是漏洞利用链中的第一个漏洞。利用的漏洞是 CVE-2023-...

06月03日16 views评论

阅读全文

移动安全

【iOS逆向】某音乐sign分析-过ollvm与花指令

0前言文章中所有内容仅供学习交流使用，不用于其他任何目的，抓包内容、敏感网址、数据接口均已做脱敏处理，严禁用于商业和非法用途，否则由此产生的一切后果与作者无关。若有侵权，请在vx【amunco...

05月16日107 views评论

阅读全文

安全文章

黑客攻击 Apple - SQL 注入到远程代码执行

介绍在我们的上一篇博客文章中，我们深入研究了 Lucee 的内部工作原理，并查看了 Masa/Mura CMS 的源代码，潜在攻击面的巨大性让我们震惊。很明显，投入时间理解代码是有回报的。经过一周的探...

05月12日23 views评论

阅读全文

安全文章

黑掉Apple 系列 - 从 SQL 注入到远程代码执行

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客新域名：https://gugesay...

05月10日11 views评论

阅读全文

代码审计

JAVA代码审计2个小tips

前言：在放1篇星球的文章，解决遇见的常见问题。1、lib文件过多时，快速定位lib代码文件如已知java-callgraph找出的类名但不知道在哪个lib文件时可利用该工具快速获取到相关lib，适用于...

05月08日33 views评论

阅读全文

安全文章

一万多块奖金的PaaS平台漏洞

现在国内有很多PAAS平台，为开发者提供快速构建部署应用环境。基本上PAAS平台提供了CI/CD的能力的，大部分都支持JAVA应用构建。今天的目标的国内某PAAS服务商，由于不方便透露是哪个平台，就叫...

04月28日19 views评论

阅读全文

安全工具

cli4bofs：一款功能强大的BOF文件运行命令行接口工具

cli4bofs是一款功能强大的BOF文件运行命令行接口工具，在该工具的帮助下，广大研究人员可以在Cobalt Strike Beacon环境之外通过独立的命令行接口工具运行BOF文件。 cli4bo...

04月26日18 views评论

阅读全文

ATT&CK -

Source Source 命令将函数加载到当前 shell 中，或在当前上下文中执行文件。这个内置命令可以以两种不同的方式运行：/path/to/filename [arguments] 或 ./p...

04月15日ATTACK17 views评论

阅读全文

SSTI-Tornado

祥云杯 2022 By W&M

htb打靶记录-SolarLab

PHP-CGI-Argument-Injection 默认配置打法[CVE-2024-4577]

利用 N-day 漏洞攻击所有网站：第 1 部分 - Chrome 渲染器 RCE

【iOS逆向】某音乐sign分析-过ollvm与花指令

黑客攻击 Apple - SQL 注入到远程代码执行

黑掉Apple 系列 - 从 SQL 注入到远程代码执行

JAVA代码审计2个小tips

一万多块奖金的PaaS平台漏洞

cli4bofs：一款功能强大的BOF文件运行命令行接口工具

ATT&CK -

在线咨询

微信