context - 第 6 | CN-SEC 中文网

安全文章

绕过Struts2 waf写入冰蝎马

继之前的Struts2绕过waf读写文件之后，遇到了一个实例，分享一下思路0x01 背景朋友发来一个struts2有waf的站点，能检测到漏洞，但是命令执行不了，上传shell肯定也就不行了，估计是检...

03月01日86 views评论

阅读全文

代码审计

java el表达式+script engine webshell bypass waf思路分享

前言：翻自己以前写过的东西，在土司翻到了以前提到过的这个问题，这个问题之前查看别的师傅写的文章，很早就有了相关的解决方法，但是一直没回复这种的解决思路。这里分享下，主要分享el表达式加scripten...

02月25日338 views评论

阅读全文

安全工具

【技术干货】UI 和 API 自动化测试神器 - Playwright

Tim@PortalLab实验室简介Playwright 是微软开源的端到端（end-to-end）测试框架，可用于现代 Web 应用。Playwright 提供如下特性：1. 任意浏览器、任意平台、...

02月23日60 views评论

阅读全文

CTF专场

【2023春节红包】二、三、四、五、六、八WriteUp（其余仅作记录）

作者论坛账号：侃遍天下无二人解题领红包之二 windows 初级题拿到题目，首先将程序下载到本地，运行后提示 Please input password:，在winhex中可以搜到这个字符串...

02月18日62 views评论

阅读全文

安全文章

【漏洞复现】S2-048 远程代码执行漏洞(CVE-2017-9791)

1 漏洞信息漏洞名称远程代码执行漏洞漏洞编号CVE-2017-9791危害等级高危漏洞类型中间件漏洞漏洞厂商Apache漏洞组件Struts2受影响版本2.0.0 <= Struts2 <...

02月14日105 views评论

阅读全文

CTF专场

2022第五空间决赛WriteUp｜pwn、reverse、crypto方向合集

PWN1. takeeasy#!/usr/bin/env python2# -*- coding: utf-8 -*- #import&nb...

02月02日73 views评论

阅读全文

安全文章

浅析Apache Commons Jxpath命令执行分析(CVE-2022-41852)

点击蓝字 / 关注我们简介JXPath是apache公司提供的XPath的java实现，JXPath 提供了用于遍历 JavaBean、DOM 和其他类型的对象的图形的 API，同...

02月02日62 views评论

阅读全文

安全文章

Spring内存马——Controller/Interceptor构造

出品|先知社区(ID:godown）声明以下内容，来自先知社区的godown作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者...

02月02日59 views评论

阅读全文

安全文章

Filter内存马学习

前言在之前我们已经简单分析了Tomcat的整体结构以及源码的请求处理，再结合java web过滤器的知识点就实现Filter内存马时就找到了头绪。Filter 流程分析我们先把环境搭建起来，使用之前&...

01月30日16 views评论

阅读全文

安全文章

bcel环境下打入springboot内存马

1.环境说明在某个不出网环境中，spring boot jar包启的环境，存在fastjson漏洞，可通过bcel类来执行命令并回显。但是由于为不出网环境需要开正向代理出来，所以需要打入内存马。因为目...

01月30日91 views评论

阅读全文

赏金猎人系列-文件上传功能测试小结-II

赏金猎人系列-文件上传功能测试小结-II声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。前...

01月22日安全文章43 views评论

阅读全文

安全文章

【漏洞复现】S2-046 远程代码执行漏洞(CVE-2017-5638)

1 漏洞信息漏洞名称远程代码执行漏洞漏洞编号CVE-2017-5638危害等级高危漏洞类型中间件漏洞漏洞厂商Apache漏洞组件Struts2受影响版本2.0.0 <= Struts2 <...

01月20日92 views评论

阅读全文

绕过Struts2 waf写入冰蝎马

java el表达式+script engine webshell bypass waf思路分享

【技术干货】UI 和 API 自动化测试神器 - Playwright

【2023春节红包】二、三、四、五、六、八WriteUp（其余仅作记录）

【漏洞复现】S2-048 远程代码执行漏洞(CVE-2017-9791)

2022第五空间决赛WriteUp｜pwn、reverse、crypto方向合集

浅析Apache Commons Jxpath命令执行分析(CVE-2022-41852)

Spring内存马——Controller/Interceptor构造

Filter内存马学习

bcel环境下打入springboot内存马

赏金猎人系列-文件上传功能测试小结-II

【漏洞复现】S2-046 远程代码执行漏洞(CVE-2017-5638)

在线咨询

微信