eval - 第 13 | CN-SEC 中文网

安全文章

从DesperateCat到EL webshell初探

通过RWCTF2022的一道web联想到的EL webshell简单实现与混淆0x0 RWCTF引发的思考前段时间结束的Realworld ctf里有一道题目DesperateCat，这道题目考察的是...

05月08日33 views评论

阅读全文

安全文章

详解Nodejs中命令执行原型链污染等漏洞

Nodejs特例大小写转换函数toUpperCase(): 将小写转换为大写的函数toLowerCase(): 将大写转换为小写的函数注意：前者可以将ı转换为I, 将ſ转为为S后者可以将İ转换为i, ...

05月02日29 views评论

阅读全文

HW知识点回顾（webshell的流量分析）

近期要准备HW了，这里就更新一点相关面试可能会问的问题。菜刀流量分析：payload的特征：PHP：<?php @eval($_POST["cai"]); ?>ASP: <%eval...

04月24日HW&HVV102 views评论

阅读全文

安全文章

RCE攻击技巧精讲！这些代码和命令执行方法带你玩转黑客世界！

1. RCE漏洞1.1. 漏洞原理RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。1.2. 漏洞产生条件调用第三方组件存在的代码执行漏洞。用户输入的内容作为系统...

04月17日36 views评论

阅读全文

安全文章

pyLoad 远程代码执行漏洞分析及复现

点击关注公众号，知识干货及时送达👇START前言近日，一起名为pyLoad远程代码执行漏洞（CVE-2023-0297）的漏洞被曝光。这个漏洞存在于pyLoad软件中，攻击者可以利用该漏洞执行恶意代码...

04月12日61 views评论

阅读全文

安全文章

原创Paper | parse-server 从原型污染到 RCE 漏洞(CVE-2022-39396) 分析

作者：billion@知道创宇404实验室日期：2023年3月31日 parse-server公布了一个原型污染的RCE漏洞，看起来同mongodb有关联，so跟进&&分析一下。 1...

03月31日27 views评论

阅读全文

安全文章

垃圾洞，在SRC捡了1w赏金。

这大概是闭关前的最后一更了，周五的夜色悄悄来临，借着公司的余光，我敲出这一篇推文，给大家分享比较另类但却小众的漏洞。正文这次的主题是postMessage未验证消息来源origin，...

03月23日51 views评论

阅读全文

安全文章

靶场攻略 | BountyHunter靶场实战

| 声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不...

03月17日34 views已关闭评论

阅读全文

安全文章

技巧|PHP中的代码&命令执行-常见bypass方法

命令执行目录PHP中的命令执行与代码执行常见的代码执行函数常见的命令执行函数：命令执行与代码执行linux中用于打开文件的函数：Trick特殊字符bypass重定义$GET bypass无参RCE无字...

03月12日19 views评论

阅读全文

安全文章

php一句话免杀简单学习（附赠自用免杀一句话）

今天我们简单学习一下php的一句话木马的各种方式，通过学习这些我们可以编写出自己的免杀一句话木马。文章最后附赠免杀一句话。这里较为基础，适合新手入门学习。基本的一句话<?phpeval($_PO...

03月09日376 views评论

阅读全文

安全文章

webshell 系列3: 隐藏webshell

通过PHP例子来讲述各种webshell的隐藏技术。译自：https://www.acunetix.com/blog/articles/keeping-web-shells-undercover-an...

02月26日117 views评论

阅读全文

代码审计

java el表达式+script engine webshell bypass waf思路分享

前言：翻自己以前写过的东西，在土司翻到了以前提到过的这个问题，这个问题之前查看别的师傅写的文章，很早就有了相关的解决方法，但是一直没回复这种的解决思路。这里分享下，主要分享el表达式加scripten...

02月25日338 views评论

阅读全文

从DesperateCat到EL webshell初探

详解Nodejs中命令执行原型链污染等漏洞

HW知识点回顾（webshell的流量分析）

RCE攻击技巧精讲！这些代码和命令执行方法带你玩转黑客世界！

pyLoad 远程代码执行漏洞分析及复现

原创Paper | parse-server 从原型污染到 RCE 漏洞(CVE-2022-39396) 分析

垃圾洞，在SRC捡了1w赏金。

靶场攻略 | BountyHunter靶场实战

技巧|PHP中的代码&命令执行-常见bypass方法

php一句话免杀简单学习（附赠自用免杀一句话）

webshell 系列3: 隐藏webshell

java el表达式+script engine webshell bypass waf思路分享

在线咨询

微信