constructor - 第 3 | CN-SEC 中文网

安全文章

九维团队-红队（突破）| ActiveMQ RCE漏洞利用

零、介绍ActiveMQ是一个开源的消息代理和集成模式服务器，它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目，用于实现消息中间件，帮助不...

12月14日45 views评论

阅读全文

安全漏洞

YApi开放注册导致rce漏洞

漏洞简介 YApi是一个基于Node.JS开发的API管理工具。如果启用了YApi服务器的注册，攻击者将能够在Mock页面中执行任意Javascript代码。2021年7月7日互联网上披露YApi管理...

11月08日48 views评论

阅读全文

安全文章

Apache ActiveMQ RCE漏洞复现（附EXP）

ActiveMQ是一个开源的消息代理和集成模式服务器，它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目，用于实现消息中间件，帮助不同的应用...

10月30日199 views评论

阅读全文

安全漏洞

Apache - ActiveMQ 5.18.2 远程命令执行漏洞

仓库:https://github.com/JaneMandy/ActiveMQExploit最近出了一个ActiveMQ 新漏洞，正好在参加活动的过程中，我们开发了一个相应的漏洞利用工具（Explo...

10月30日73 views评论

阅读全文

java代码审计必备技能之——Spring框架

1. Spring概述1.1 什么是SpringSpring作为一款轻量级开源框架，以控制反转(IOC)和面向切面编程(AOP)为内核.解决了开发人员在工作过程中遇到的许多常见问题...

10月14日代码审计23 views评论

阅读全文

安全文章

来看一个有趣的XSS（二）

题解题解payload先放文末了，铁子们可以先自行尝试一下这个挑战，下面粘出题目源码，另存为html即可页面源码<!DOCTYPE html><html lang="zh-Hant-...

09月10日13 views评论

阅读全文

安全文章

三分钟破译七天卷走过亿资金的钓鱼诈骗组织的关键加密js

在2022年5月，有一个网络诈骗组织通过以”发放工资补贴“的名义群发钓鱼邮件，在七天内狂卷过亿资金出境。详情请见搜狐中招钓鱼邮件诈骗攻击手法分析.当时我获取到恶意样本时已经是钓鱼最后一天，在进一步分析...

05月04日98 views评论

阅读全文

代码审计

从Java源码来看Native命令执行方法

概述在RASP等安全产品防护严密的现在，普通的寻找Runtime.getRuntime().exec(cmds)的调用已经成为了一件不现实的事情。同样的，在Java中盛行的反序列化漏洞中，如果将RCE...

04月23日33 views评论

阅读全文

CTF专场

皮蛋厂的学习日记｜ 2023.3.8 2022级Ic4_F1ame Nunjucks模板

从一道题目学习Nunjucks模板本文首发于先知社区皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享，希望能与大家共同学习、共同进步~Nunjucks简介：Nunjucks基础：nunjuck...

03月17日25 views评论

阅读全文

代码审计

codeql with JNDI injection

点击蓝字 / 关注我们0x00 前言今年年初浅蓝师傅发了两篇探索高版本 JDK 下 JNDI 漏洞利用方法的文章，拜读之后一直没时间自己进行探索，正巧最近在工作期间学习codeql...

07月13日21 views评论

阅读全文

代码审计

codeql with JNDI injection

0x00 前言今年年初浅蓝师傅发了两篇探索高版本 JDK 下 JNDI 漏洞利用方法的文章，拜读之后一直没时间自己进行探索，正巧最近在工作期间学习codeql相关姿势，看了一下关于寻找高版本JDK下...

07月13日59 views评论

阅读全文

安全文章

奇技淫巧(7) - XSS payload

Vue.js Javascript库客户端模板注入hxxp://host/?name={{this.constructor.constructor('alert("foo")')()}} 本文始发于微...

06月14日64 views评论

阅读全文

九维团队-红队（突破）| ActiveMQ RCE漏洞利用

YApi开放注册导致rce漏洞

Apache ActiveMQ RCE漏洞复现（附EXP）

Apache - ActiveMQ 5.18.2 远程命令执行漏洞

java代码审计必备技能之——Spring框架

来看一个有趣的XSS（二）

三分钟破译七天卷走过亿资金的钓鱼诈骗组织的关键加密js

从Java源码来看Native命令执行方法

皮蛋厂的学习日记｜ 2023.3.8 2022级Ic4_F1ame Nunjucks模板

codeql with JNDI injection

codeql with JNDI injection

奇技淫巧(7) - XSS payload

在线咨询

微信