inputstream - 第 3 | CN-SEC 中文网

安全文章

记一个SHELL捡漏

文章来源: https://bbs.zkaq.cn/t/31157.html Jenkins - println绕过到shell命令执行语法 org="China Education and Res...

05月18日20 views评论

阅读全文

安全文章

JNDIExploit反制

0x0前言一款用于 JNDI注入利用的工具，大量参考/引用了 Rogue JNDI 项目的代码，支持直接植入内存shell，并集成了常见的bypass 高版本JDK的方式，适用于与自动化工具配合使...

05月18日20 views评论

阅读全文

安全文章

记一次XXL-JOB测试

判断后台与执行器运行位置爆破进入后台admin/admin321进后台，首先看执行器管理中是否配置了执行器。如果有执行器，这里会得到执行器的IP地址信息；如果无可用的执行器，则定时任务也无法利用。...

04月19日27 views评论

阅读全文

安全文章

Java 应用程序远程代码执行场景

一、流程构建器Java 代码片段包含一个漏洞，由于缺乏对参数的输入验证/清理，该漏洞允许远程执行代码 (RCE) cmd。让我们深入研究此漏洞及其利用方式。https://redteamrecipe....

04月17日6 views评论

阅读全文

安全漏洞

SnakeYaml 中不安全的反序列化漏洞 (CVE-2022-1471) 有感

原文：https://snyk.io/blog/unsafe-deserialization-snakeyaml-java-cve-2022-1471/SnakeYaml安全漏洞概述SnakeYaml...

04月15日199 views评论

阅读全文

安全文章

干货 | XXL-JOB在真实攻防下的总结

前言最近在HW中经常会遇到XXL-JOB这个组件，也通过这个组件进入了不少目标单位，那就对该组件的利用进行一次总结。一、最基本的操作-计划任务命令执行这个操作我相信大家已经熟的不能再熟了，因为x...

03月04日155 views评论

阅读全文

安全文章

XXL-JOB在真实攻防下的总结

扫码领资料获网安教程最近在HW中经常会遇到XXL-JOB这个组件，也通过这个组件进入了不少目标单位，那就对该组件的利用进行一次总结。一、最基本的操作-计划任务命令执行这个操作我相信大家已经熟的不能再熟...

03月01日44 views评论

阅读全文

安全文章

HackTheBox-Pennyworth

初始点1级第九关Pennyworth获取目标机IP。nmap扫描目标开放端口。nmap -sC -sV {target_IP}-sC：脚本扫描-sV：版本检测8080端口开放，http服务器上运行je...

02月29日19 views评论

阅读全文

代码审计

Finebi反序列化漏洞分析

反序列化 /webroot/decision/remote/design/channel 处存在发序列化漏洞这个接口接收post传输的数据，会先经过GZIPInputStream解压缩GZIP格式数...

02月28日32 views评论

阅读全文

安全文章

Facebook代码执行实现命令注入敏感信息泄露

部分网站开设编码练习，若安全配置不当，则代码执行将升级为操作系统命令注入，导致敏感信息泄露等。信息泄露 facebookrecruiting.com是 Facebook 用于招聘的网站，其网站页面存...

02月08日16 views评论

阅读全文

安全文章

关于一些常见的JSP_Webshell免杀小tips

0x01、前言最近研究Java相关方面的安全,最后想着看看关于JSP相关的Webshell免杀思路,以下是本人自己对于jspwebshell的免杀思路分享给大家0x02、内置函数免杀/MimeLaun...

02月05日33 views评论

阅读全文

移动安全

渗透测试 | 记一次安卓渗透流量被加密的解决思路

0x1 简述在对银行APP进行渗透测试时，遇到了APP被加壳以及流量被加密。此篇文章针对以上问题以修改SO文件方式进行绕过。0x2 反编译APP首先APP作了加固，加固方式无从得知，从MT管理器提供的...

01月31日48 views评论

阅读全文

记一个SHELL捡漏

JNDIExploit反制

记一次XXL-JOB测试

Java 应用程序远程代码执行场景

SnakeYaml 中不安全的反序列化漏洞 (CVE-2022-1471) 有感

干货 | XXL-JOB在真实攻防下的总结

XXL-JOB在真实攻防下的总结

HackTheBox-Pennyworth

Finebi反序列化漏洞分析

Facebook代码执行实现命令注入敏感信息泄露

关于一些常见的JSP_Webshell免杀小tips

渗透测试 | 记一次安卓渗透流量被加密的解决思路

在线咨询

微信