简介命令执行漏洞是一种常见的Web应用程序安全漏洞,攻击者可以通过该漏洞在受感染的应用程序上执行恶意代码。这种漏洞通常是由于不正确地处理用户输入而引起的。攻击者利用命令执行漏洞时,通常会将含有恶意代码...
22小时前6 views评论eval
ip
命令执行bypass
22小时前6 views评论eval
ip
22小时前6 views评论eval
ip
带外通道技术(OOB)总结
在渗透中,经常碰到关闭回显的漏洞,常见的XXE盲注,SQL盲注,反序列号无回显,这个时候常用到OOB带外数据通道,带外通道技术(OOB)让攻击者能够通过另一种方式来确认和利用所谓的盲目(blind)的...
05月29日8 views评论eval
xxe
中国特色PHP大马
一、前言 本篇为PHP 常见类型 webshell 学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习笔记学习...
05月25日43 views评论eval
webshell
10款最受企业青睐的第三方风险管理工具推荐
不管企业规模大小,其在开展生产经营活动的过程中,总是存在着和第三方机构(人员)发生业务往来的交互过程,这意味着每个企业都会面临第三方的风险威胁,而与之对应的第三方风险管理(Third Party Ri...
05月23日15 views评论eval
供应商
记一次完整的PHP代码审计——yccms v3.4审计
一、环境搭建与使用工具(一)环境搭建打开源码查看安装要求PHP 5.4+,Mysql 5.0.*,直接使用phpstudy配置即可查看源码目录结构,发现是mvc模式的,那么我们重点关注的就是contr...
05月09日16 views评论eval
代码
从DesperateCat到EL webshell初探
通过RWCTF2022的一道web联想到的EL webshell简单实现与混淆0x0 RWCTF引发的思考前段时间结束的Realworld ctf里有一道题目DesperateCat,这道题目考察的是...
05月08日15 views评论loader
webshell
详解Nodejs中命令执行原型链污染等漏洞
Nodejs特例大小写转换函数toUpperCase(): 将小写转换为大写的函数toLowerCase(): 将大写转换为小写的函数注意:前者可以将ı转换为I, 将ſ转为为S后者可以将İ转换为i, ...
05月02日19 views评论eval
nodejs
HW知识点回顾(webshell的流量分析)
近期要准备HW了,这里就更新一点相关面试可能会问的问题。菜刀流量分析:payload的特征:PHP:<?php @eval($_POST["cai"]); ?>ASP: <%eval...
04月24日HW&HVV21 views评论payload
数据包
RCE攻击技巧精讲!这些代码和命令执行方法带你玩转黑客世界!
1. RCE漏洞1.1. 漏洞原理RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。1.2. 漏洞产生条件调用第三方组件存在的代码执行漏洞。用户输入的内容作为系统...
04月17日18 views评论rce
代码执行
pyLoad 远程代码执行漏洞分析及复现
点击关注公众号,知识干货及时送达👇START前言近日,一起名为pyLoad远程代码执行漏洞(CVE-2023-0297)的漏洞被曝光。这个漏洞存在于pyLoad软件中,攻击者可以利用该漏洞执行恶意代码...
04月12日25 views评论eval
远程代码执行漏洞
原创Paper | parse-server 从原型污染到 RCE 漏洞(CVE-2022-39396) 分析
作者:billion@知道创宇404实验室 日期:2023年3月31日 parse-server公布了一个原型污染的RCE漏洞,看起来同mongodb有关联,so跟进&&分析一下。 1...
03月31日14 views评论eval
options
垃圾洞,在SRC捡了1w赏金。
这大概是闭关前的最后一更了,周五的夜色悄悄来临,借着公司的余光,我敲出这一篇推文,给大家分享比较另类但却小众的漏洞。 正文 这次的主题是postMessage未验证消息来源origin,...
03月23日37 views评论eval
页面
