前言文章主要讲述某次红队攻防项目中,从挖掘某系统0day漏洞拿到shell并通过jfinal框架的某个tips绕过waf,到绕过瑞数6反爬最终构造正向代理进入内网的过程漏洞挖掘前期若干天供应链的艰辛不...
九维团队-绿队(改进)| OFCMSV1.1.2审计练习(上)
前言 笔者最近在学习Java代码审计,从网上找了一套已知漏洞的开源项目进行学习,利用白加黑的形式进行审计练习。 一、项目结构 ofcms是一款基于java开发的内容管理系统,技术栈包括jfinal D...
jpress代码审计分享
出品|先知社区(ID:1871162774168111)声明以下内容,来自先知社区的1871162774168111作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用...
如何突破JFinal黑名单机制实现任意文件上传
零基础黑客教程,黑客圈新闻,安全面试经验尽在 # 掌控安全EDU #引言JFinal是国产优秀的web框架,短小精悍强大,易于使用。近期团队内一名小伙伴(LuoKe)在安全测试的时候报了一个很玄学的任...
看我如何突破JFinal黑名单机制实现任意文件上传
引言JFinal是国产优秀的web框架,短小精悍,强大且易于使用。近期团队内一名小伙伴(LuoKe)在安全测试的时候报了一个很玄学的任意文件上传,笔者本着知其然必知其所以然的态度去跟进了一下问题代码,...