member | CN-SEC 中文网

代码审计

关于CC链1中的一些问题分析

0x00. 前言CC链1已有很多前辈分析，刚开始还好，到了后面，总觉得学的迷迷糊糊，从各类资料中所学也是一知半解。有很多问题对于Java基础不扎实的我或类似朋友，可能比较吃力。索性，我记录一下除常规链...

05月23日24 views评论

阅读全文

安全文章

DedeCMS V5.7.113 member_do.php 存在 SQL 注入

0代码审计审计过程中发现 sql 大多数执行的函数都做了安全过滤看上去比较严格所以暂时先给放放，而且单引号和双引号都会被转义所以重心放在没进行安全过滤的 sql 执行函数上最后让我找到这个全局搜索调...

05月16日17 views评论

阅读全文

安全文章

赏金故事 | 挖掘Netflix Dispatch中的管理员账户接管漏洞

扫码领资料获网安教程来Track安全社区投稿~ 赢千元稿费！还有保底奖励~（https://bbs.zkaq.cn）引言在暂停参与 Netflix 漏洞赏金计划一段时间后，我决定再次尝试一次。我在 ...

05月13日12 views评论

阅读全文

安全闲碎

一年时间从小白成为 OpenTelemetry Member 有感

字数 891，阅读大约需 5 分钟前段时间申请成为了 OpenTelemetry 的 Member 通过了，算是完成了一个阶段性目标；从 24 年的 2 月份的第一个 issue 到现在刚好一年的时间...

04月23日9 views评论

阅读全文

代码审计

74cms 最新 getshell 漏洞

原文链接：https://xz.aliyun.com/news/16959 作者：1398133550745333 0x1 前言文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，...

02月28日33 views评论

阅读全文

安全文章

某CMS 排行页面存储型XSS漏洞分析

2018年10月12日，某CMS官方修复了一处XSS漏洞：简要分析 source/module/misc/misc_ranklist.php:166 <?php function getran...

02月25日14 views评论

阅读全文

安全开发

08x结构体64-71

关注公众号，后台回复找书+ C++Primer 获取C++相关电子书。C/C++ 数组允许定义可存储相同类型数据项的变量，但是结构是 C++ 中另一种用户自定义的可用的数据类型，它允许您存储不同类型...

02月07日7 views评论

阅读全文

代码审计

Jspxcms V9.0.0漏洞分析学习

前言对于php代码审计已经满足不了日常工作的需求了，更多的是接触到了Java，而且大部分网站现在已经是由Java进行开发，对于Java的代码审计也不能落下。所以，本篇文章，作者参考https:/...

01月06日30 views评论

阅读全文

安全漏洞

大华DSS城市安防监控平台login_init.action远程命令执行漏洞 POC

一、漏洞描述大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统。该平台登录接口存在远程命令执行漏洞，攻击者通过在请求头中构造payload实现远程命令执行，可获取服务器管理权限 ...

01月06日112 views评论

阅读全文

代码审计

一次代码审计项目案例

免责申明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。一、前言好久没有给大家更新了，这次记录一下...

10月31日16 views评论

阅读全文

安全文章

记录小黑子的一个三分球（edusrc证书）

好久没有更新文章了，不知道各位小黑子大黑客还记得我这枚小黑子么，这期就讲讲小黑子最近进的第一个三分球（edusrc证书站）。要想实现一个完美的三分球，准备工作也是必不可少的。首先我们先通过熟练的运球技...

10月18日26 views评论

阅读全文

MS SQL Server攻击面

前言微软SQL Server是一个关系型数据库依赖于windows环境，通常用于支持一些商业功能。除了这些功能之外，SQL Server还具有非常大的攻击面，比如命令执行，权限提升，横行移动以及权限维...

10月07日安全文章10 views评论

阅读全文