getclass | CN-SEC 中文网

安全文章

Behinder免杀&流量隐蔽&流量分析

Tips +1 篇幅过长,排版过乱,各位佬将就看原始shell代码分析 <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec...

03月19日11 views评论

阅读全文

代码审计

某CRM代码审计之旅-多漏洞绕过与发现

文章作者：奇安信攻防社区（中铁13层打工人）文章来源：https://forum.butian.net/share/41311►权限绕过该项目使用了shiro进行权限验证查看依赖版本，发现该版本配合...

03月10日23 views评论

阅读全文

CTF专场

DDCTF 2020 WEB WriteUp

DDCTF 2020 WEB WriteUp Web签到题第一个POST传入username和pwd会返回token，第二个POST传入username，pwd和token会得到client下载链接...

02月27日20 views评论

阅读全文

安全文章

shiro反序列化漏洞攻击拓展面修改key

0x00 前言在这个shiro末年时代，攻防演练越来越难。对于传统红队队员提出了更高的一些要求，shiro最近的对于红蓝对抗中发挥了不可磨灭的价值。这里提出一些新奇的攻击手法针对shiro实战，提高...

02月25日7 views评论

阅读全文

安全文章

Java 反序列化回显链研究：漏洞检测工程化

回显方案选择实战中反序列化漏洞利用时，经常会遇到不出网的情况，命令执行成功，但拿不到执行结果，也不能回连这种情况可能是内网主机网络配置，禁用了tcp/dns/icmp等协议...

02月24日12 views评论

阅读全文

安全文章

从xxe到rce-记一道ctf中的java题

前言今天下午朋友在打比赛好像是什么数据安全的，闲着没事就要了道java题的源码，感觉挺有意思的。好像比赛结束了，就把wp写出来了思路给了个jar包，反编译看代码：先看object...

12月04日9 views评论

阅读全文

安全漏洞

漏洞分析｜Metabase 远程代码执行(CVE-2023-38646): H2 JDBC 深入利用

Goby社区第29篇技术分享文章全文共：10227字预计阅读时间：20分钟01概述最近 Metabase 出了一个远程代码执行漏洞（CVE-2023-38646），我们通过研究分析发现该漏洞是通过 J...

10月11日34 views评论

阅读全文

安全文章

实战jboss getshell

开局awvs高危搜索下很快就找到一篇文章 https://medium.com/@r0t1v/pwning-jboss-seam-2-like-a-boss-da5a43da6998 看了下好像是e...

10月11日22 views评论

阅读全文

安全文章

XXL-JOB内存马

免责声明：本公众号致力于安全研究和红队攻防技术分享等内容，本文中所有涉及的内容均不针对任何厂商或个人，同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失，均由使用者本人承担...

04月09日228 views评论

阅读全文

安全文章

我是如何挖到SSTI在某支付系统上进行任意文件读取

大家好，这是我第一次写关于我在寻找漏洞时所做的一项发现的较长文章。初始立足点我正在浏览一个网站，我注意到这是亚洲一家领先的支付系统提供商。所以，我在检查这个网站时发现它在传递参数时存在一个奇怪的问题（...

03月20日15 views评论

阅读全文

代码审计

『代码审计』ysoserial CB1 无依赖反序列化利用链分析

点击蓝字，关注我们日期：2024-03-11作者：ICDAT介绍：这篇文章主要是对 ysoserial CB1 的无依赖反序列化无利用链进行分析。0x00 前言我们上一篇文章分析了ysoserial中...

03月13日37 views评论

阅读全文

安全文章

webshell静态免杀的一些思路

1.静态查杀绕过原理顾名思义静态查杀就是杀软会检查webshell文件的内容，提取的文件特征将与已知的恶意模式进行比对。这些恶意模式可以是已知的病毒特征、恶意软件代码片段等。比如正则表达式检测是否有危...

02月15日19 views评论

阅读全文

Behinder免杀&流量隐蔽&流量分析

某CRM代码审计之旅-多漏洞绕过与发现

DDCTF 2020 WEB WriteUp

shiro反序列化漏洞攻击拓展面修改key

Java 反序列化回显链研究：漏洞检测工程化

从xxe到rce-记一道ctf中的java题

漏洞分析｜Metabase 远程代码执行(CVE-2023-38646): H2 JDBC 深入利用

实战jboss getshell

XXL-JOB内存马

我是如何挖到SSTI在某支付系统上进行任意文件读取

『代码审计』ysoserial CB1 无依赖反序列化利用链分析

webshell静态免杀的一些思路

在线咨询

微信