0x01 前言 最近也是专研代审一段时间,也是发现要走的路很长很长。本篇所用的java方法我已经在上一篇写到,如有不足之处请见谅。0x02 路由分析java源码中,...
Java代码审计初试
免杀是同所有的检测手段的对抗,目前免杀的思路比较多。本篇介绍了一个独特的思路,通过内存解密恶意代码执行,解决了内存中恶意代码特征的检测。同时提出了one click来反沙箱的思路,阐述了一些混淆反编译...
从0认识+识别+掌握spring全漏洞(1.8w字超详细看完拿捏spring)文末带工具
正如各位读者所见,我们新开了一个主题:经典漏洞复现,和其他文章不一样之处在于--我们会详细介绍漏洞原理+漏洞指纹特征+详细的利用(复现)过程,在这个系列里我们希望能带着读者(小白)去认识并掌握每一个漏...
Apache Struts2 CVE-2023-50164漏洞复现
一、漏洞背景 Apache Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(...
0day | 某医院系统审计
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,小黑说安全及文章作者不为此承担任何责任。拿到wbb代码查看一番后...
代码审计-lmxcms(梦想CMS)
介绍梦想cms以下简称“lmxcms”,是由“10年”(网名)开发的一套简单实用的网站管理系统(cms)。它采用的是MVC模型搭建 源码搭建 我这里还是采用小皮面板搭建 创建好后访问/install目...
ASP.NET 内存马与魔改蚁剑内存马回显
测试环境在此选项中选择mvc项目入口在global.asax官方文档https://learn.microsoft.com/zh-cn/aspnet/mvc/overview/https://lear...
【干货】掌握spring全漏洞(1.8w字超详细看完拿捏spring)文末带工具
正如各位读者所见,我们新开了一个主题:经典漏洞复现,和其他文章不一样之处在于--我们会详细介绍漏洞原理+漏洞指纹特征+详细的利用(复现)过程,在这个系列里我们希望能带着读者(小白)去认识并掌握每一个漏...
好工具分享:渗透利器 ClassHound
利用任意文件下载漏洞自动循环下载并反编译class文件获得网站源码下载地址:https://github.com/LandGrey/ClassHound 之前遇到一个java 任意文件读取,...
浅谈Apache与CVE-2023-20860
一、前言 一般情况下,开发者配置鉴权时,可能都会遵循一个原则,就是"优先使用/**认证兜底,明确哪些接口无需认证,而不是明确哪些接口需要认证。 在Spr...
ASP.NET安全
概述 安全在web领域是一个永远都不会过时的话题,今天我们就来看一看一些在开发ASP.NET MVC应用程序时一些值得我们注意的安全问题。本篇主要包括以下几个内容 :认证授权XSS跨站脚本攻击跨站请...
.NET代码审计之MVC XSS-JsonValue
星球优惠活动为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,...