术之尽头,炁体源流构造payload:/Audio/1/hls/..%5C..%5C..%5C..%5C..%5C..%5CWindows%5Cwin.ini/stream.mp3/漏洞证明文笔生疏,...
获取MessageSolution系统账号密码
有道无术,术尚可求也;有术无道,止于术访问如下Url/authenticationserverservlet查看页面源代码,发现系统账号密码使用获得到的密码可以登录系统漏洞利用POC文笔生疏,措辞浅薄...
实战某管理系统超级管理员密码
无我相,无人相,无众生相,无寿者相。漏洞复现实战过程中,遇到某站点存在登陆界面,并且该站点使用的是某管理系统,通过常规的口令爆破,并未产生有效成果。此时想到去换一种思路,查找到产品手册,发现确实存在默...
知乎 x-zse-96 字段破解
一前言1.1 本文仅供研究与学习使用自从21年破解知乎web后就没去再关注它,最近很多伙伴私信说知乎已经更新版本,于是乎便有了这一次的逆向!这次笔记会稍微简洁些,具体操作不懂的可查看我之前在csdn写...
Jellyfin SSRF
无善无恶心之体,有善有恶意之动,知善知恶是良知,为善去恶是格物构造请求POC:http://xxx/Images/Remote?imageUrl=https://www.baidu.com漏洞证明:文...
XSS攻击详解
0 前言0.1 免责声明传播、利用本公众号剁椒鱼头没剁椒所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号剁椒鱼头没剁椒及作者不为此承担任何责任,一旦造成后果请自行承担!如有...
浪潮ClusterEngineV4.0 任意用户登录
所谓理想,只是同时拥有实力的人才能说的“现实”。所谓弱就是一种罪。漏洞描述:浪潮ClusterEngineV4.0 存在任意用户登录漏洞,构造恶意的用户名和密码即可获取后台权限漏洞影响:浪潮Clust...
o2oa命令执行
https://blog.csdn.net/qq_41904294/article/details/128680510我这里的版本,因为java命令执行相关的函数被禁用了,反射加载会报错。所以用了写公...
看一处知乎的业务逻辑
0x01 前言最近在总结一些自己学习到或自己遇到的逻辑漏洞案例自己也会分篇幅慢慢发到公众号上(看自己写的进度)本意是想以一篇文章总结自己所学到的或自己遇到的逻辑漏洞案例,考虑到公众号发布文章不能修改和...
拿到CSDN账号的一个小思路
首发t00ls https://www.t00ls.com/thread-69304-1-1.html 如果拿到目标的CSDN的账号页面的话,就比如说:https://blog.c...
vulntarget-b 靶场渗透
扫码领资料获网安教程免费&进群前言展开目录觉得这个系列的靶场还有点意思,所以自己搭建来玩玩拓扑图:外网打点展开目录常规端口扫描发现 81 端口为 web 服务找到历史漏洞:文件上传:https...
Apache OFBiz 反序列化RCE
只因苦难多壮志,不教红尘惑坚心。漏洞描述OFBiz是基于Java的Web框架,包括实体引擎,服务引擎和基于小部件的UI。近日,Apache OFBiz官方发布安全更新。Apache OFBiz 存在R...
11