composer - 第 2 | CN-SEC 中文网

安全漏洞

PHP Composer 命令注入漏洞 (CVE-2024-35242)

漏洞详情: composer2.2.24和2.7.7之前版本存在安全漏洞,该漏洞源于具有特制分支名称的git/hg存储库中运行的composer install命令可能会导致命令注入。受影响的版本:...

06月20日129 views评论

阅读全文

Composer PHP依赖项管理器命令注入漏洞安全风险通告

漏洞背景近日，嘉诚安全监测到Composer中存在一个PHP依赖项管理器命令注入漏洞，漏洞编号为：CVE-2024-35242。 Composer是PHP开发领域中最受欢迎的依赖项管理工具之一，使P...

06月17日安全漏洞26 views评论

阅读全文

HW&HVV

从信息泄漏到Getshell-攻防演练

0x01 前言在一次攻防演练打点过程中，前期先从备案查询、子域名收集、端口扫描等方式获取资产URL。最终通过自己整理的字典进行目录扫描找到利用点成功Getshell站点！文字写的有点多但...

04月15日81 views评论

阅读全文

安全文章

九维团队-绿队（改进）| ThinkPHPv5.1.X反序列化漏洞分析

一环境搭建PHP -- 7.4.21ThinkPHP --5.1composer 安装ThinkPHP先安装composer：curl -sS https://getcomposer.org/inst...

08月07日23 views评论

阅读全文

代码审计

ThinkPHP6.0 反序列化漏洞

配置序言 · ThinkPHP6.0完全开发手册 · 看云 (kancloud.cn) 6.0.1 composer create-project topthink/think tp6.0.1 "r...

06月30日32 views评论

阅读全文

安全文章

【漏洞复现】thinkphp6.0之文件上传getshell

漏洞描述2020年1月13号thinkphp团队在V6.0.2版本更新中提到修复了可能的session安全隐患，该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件，特定情...

05月16日198 views评论

阅读全文

安全文章

如何使用MageScan检测Magento站点的安全性

关于MageScan MageScan是一款功能强大的安全检测工具，在该工具的帮助下，广大研究人员可以轻松对目标MageScan站点进行性能和安全性评估。工具安装&n...

05月04日40 views评论

阅读全文

安全文章

Thinkphp5.1反序列化漏洞复现加代码调式

代码调试环境问题一直不行就是composer上的默认php版本和你phpstrom上面的版本对不上，要先在你composer下来的目录下找composer.json文件修改版本(可能大概而已)因为我是...

05月02日39 views评论

阅读全文

安全文章

Dcat Admin搭建与Getshell全过程

前言在某次众测时意外捡到一个Dcat Admin弱口令，最终通过查找大量文章后成功getshell拿下赏金。本篇文章主要讲解一下搭建Dcat Admin的过程，Getshell过程详见微信公众号—...

04月13日1,184 views1

阅读全文

安全文章

Laravel Debug mode RCE复现

漏洞概述在Laravel8.4.2之前，由于Ignition组件(版本小于2.5.2)中MakeViewVariableOptionalSolution.php的file_get_contents()...

04月08日77 views评论

阅读全文

安全文章

【技术分享】供应链攻击之PHP Composer漏洞

简单概括本文的内容为：PHP包管理器Composer中，程序包来源下载URL部分的处理方式不当，导致了远程命令执行漏洞。攻击者可利用参数注入构建恶意的Mercurial库URL，并利用其alias选项...

03月28日32 views评论

阅读全文

安全文章

Laravel 5.4.*反序列化

出品|先知社区(ID:Ho1L0wBy）声明以下内容，来自先知社区的Ho1L0wBy作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及...

11月30日36 views评论

阅读全文

在线咨询

微信