题目 访问 /flag 发现需要登录 挂上 BurpSuite 的代理,随便输个账号密码(比如: 账号aaa 密码 bbb)访问,查看 HTTP 响应报文: 得到提示 do u konw admin ...
CVE-2022-1388(F5 BIG-IP Remote Code Execution)
exp:# F5 BIG-IP RCE exploitation (CVE-2022-1388)POST (1): POST /mgmt/tm/util/bash HTTP/1.1Host: <...
宝塔面板取证
宝塔面板是什么?宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。例如:创建管理网站,轻松简单完成各种...
【漏洞预警】OpenSSL信任管理问题漏洞(CVE-2022-1343)
01漏洞描述 OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码...
【漏洞预警】Siemens SIMATIC Energy Manager反序列化漏洞(CVE-2022-23450)
01漏洞描述SIMATIC Energy Manager 是面向工业领域的能源管理系统,根据 ISO 50001 进行了认证 借助于 SIMATIC Energy Manager,可以详细...
JNDI注入工具改造
源码链接 (修改前的源码,因为feihong师傅的仓库已经不在了,这里使用的是Jeromeyoung师傅的源码进行改造)https://github.com/Jeromeyoung/JNDIExplo...
【漏洞风险通告】Apache Druid远程代码执行漏洞(CVE-2021-26919)
背景描述Apache Druid是一个实时分析数据库,旨在对大型数据集进行快速在线分析(OLAP)处理。Druid最常用作数据库,提供灵活的数据浏览和快速的数据聚合。近日,迪普科技检测到Apache ...
JNDI注入工具代码结构分析
THE SPRING EQUINOXJNDI注入工具代码结构分析该文章首发于Sec-IN,文章链接:https://www.sec-in.com/article/1632工具链接:https://gi...
详解Java自动代码审计工具实现
0x00 背景 之前在先知社区写过相关的文章。 文章过于粗糙,一些基础原理和细节问题没有谈明白 所以再写一篇文章做更完善的分析 0x01 数据流分析 静态分析理论中的数据流分析,通过算法得到Basic...
Jarvis OJ -BASIC-WRITE-UP
似乎寒假起就没有好好刷过ctf题了,感觉菜的和狗一样。愈发的感觉到无力。所以来JarvisOJ修炼了,写个WP记录一下。 BASIC veryeasy question: 使用基本命令获取flag a...
Visual Basic - 语言常用的颜色常数速查表
Visual Basic 语言颜色常数表 因为这些常数是在 VBScript中设置, 您在应用之前不必定义它们. 您可在代码中任意处应用它们以表明说明值。 常数 值 描述 vbBlack &h...
原创干货 | 【恶意代码分析技巧】04-exe_VB
1.VB的介绍 今天我们来介绍一下Visual Basic样本的分析技巧。Visual Basic 是一种具有良好图形用户界面的程序设计语言。 Visual的意思是“可视的”,也就是直观的编程方法,在...
4