jsp - 第 11 | CN-SEC 中文网

安全文章

基于深度学习的webshell检测

1.背景介绍Webshell是一种基于web应用的后门程序，是黑客在入侵过程中经常使用的一类恶意工具之一。web渗透中黑客可以利用特定的Webshell获取服务器权限，进而进行服务器文件操作、数据库操...

03月23日230 views评论

阅读全文

安全文章

jsp webshell免杀的一次小姿势

今天渗透测试的时候找到一个可以上传jsp的上传点，但是总是上传一句话、大马、冰蝎马的时候显示链接被重置(connection reset)或者通信异常(socket error)，有啥办法绕过呢？ &...

03月19日18 views评论

阅读全文

SecIN安全技术社区

浅谈Springboot中的文件上传

引言在JavaWeb应用中，任意文件上传一直是关注的重点，攻击者通过上传恶意jsp文件，可以获取服务器权限。但是在Springboot框架对JSP解析存在一定的限制。Spri...

03月01日407 views评论

阅读全文

安全文章

漏洞复现 | Tomcat漏洞复现

Tomcat服务器 0x01前言： Tomcat服务器是一个免费开放源代码的web应用服务器，属于轻量级应用服务器，主要在中小型系统和并发访问用户不是很多的场合下使用，是开发和调式JSP...

02月05日5 views评论

阅读全文

安全文章

实战渗透-Shiro反序列化漏洞实例

0x01.前言这是一次授权的渗透测试，技术含量不高，但我始终相信，每一次的积累，都是为了成就更好的自己，所以过程简洁，记录下每个知识点。对渗透而言，我更喜欢实战的体验感，那种喜悦和知识的获取感，永远是...

12月28日31 views评论

阅读全文

安全文章

记一次垃圾字符文件上传绕过WAF

前言在测试项目的时候，网站有WAF，只要输入一些敏感字符就直接封IP 10分钟左右。发现有上传功能，经过不断的测试终于拿到shell。经过上传附件，使用burpsuite 抓取数据包测试上传jsp直接...

12月26日525 views评论

阅读全文

安全新闻

XavgMiner挖矿家族最新动向

背景近日，奇安信安全能力中心通过TG-DATA威胁分析平台捕获到多起通过攻击Tomcat服务器投递挖矿病毒的威胁事件，通过溯源分析发现该团伙在2019年开始活跃。攻击者使用最新的Weblogic漏洞C...

12月22日113 views评论

阅读全文

代码审计

记一次对ueditor的捡漏之旅

（已知目标ip为1.1.1.1）使用fofa看看有哪些web服务：我一般会习惯性的F12、刷新看看网站会加载哪些资源（总会出现一些奇妙的路径）如图：ueditor+jspSSRF目录遍历文件上传 =&...

12月21日2,636 views评论

阅读全文

安全文章

JSP Webshell那些事 -- 攻击篇(上)

前言目前很多大型厂商都选择使用Java进行Web项目的开发，近年来随着各种JAVA指定环境RCE漏洞的出现，Java Web的安全逐渐被人们所重视，与漏洞相关的还有用于后期维持权限的Webshell。...

08月14日375 views评论

阅读全文

Webshell 高级样本收集

收集样本，那可是一件很有趣的精细活。从样本里，你可能会发现很多技巧，并进入另一个视角来领略攻击者的手法。当在安全社区里看到一些比较高级的Webshell样本，就如同发现宝藏一般欣喜，我会把它保存起来，...

07月31日安全文章347 views评论

阅读全文

Webshell 高级样本收集

07月31日安全文章236 views评论

阅读全文

整理一些大汉版通的漏洞

1.sql注入/vc/vc/interface/index/que_scount.jsp?webid=1/jcms/short_message/que_contact.jsp?vc...

01月01日漏洞时代4,751 views评论

阅读全文