免责声明该公众号主要是分享互联网上公开的一些漏洞poc和工具,利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担...
01月05日32 views评论rce
漏洞复现
Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070)
01月05日32 views评论rce
漏洞复现
01月05日32 views评论rce
漏洞复现
前端加解密之RPC调用
很久没有写文章了,最近看大家讨论前端的rpc比较火热,这里分享几个我之前的笔记案例,做记录,也为了让更多的师傅能够方便地使用RPC工具进行测试(PS:也可以配合autoDecoder食用,测试更方便!...
12月29日66 views评论param
rpc
实战|src众测漏洞案例沉浸式分享
众测案例分享,全加密站点从无从下手到抽丝剥茧,本文将将你代入我的视角,做一次沉浸式渗透测试。(本文首发博客:https://sanshiok.com/archive/9.html,点击阅读原文跳转)0...
12月25日31 views评论param
response
技巧 | Burp攻击面拓展与实用工具
JavaScript中的秘密 谈到攻击面那就少不了JavaScript,现如今总能遇到前后端分离网站,接口与各种凭证Key也可能会被放在前端文件中;利用jsfinder这类...
12月21日100 views评论burp
插件
PHP流协议的底层实现分析
PHP内部实现了一些伪协议,为日常的开发提供了便利,但是也存在着一些安全隐患,本文从底层源码分析常用的伪协议有哪些安全隐患,以便在渗透测试或者日常开发中可以注意到这些隐患点。注: 由于大家的叫法比较多...
12月17日13 views评论param
协议
ProcessHacker驱动漏洞分析
介绍 ProcessHacker的2.8.0.0版本的驱动程序kprocesshacker.sys存在漏洞,该驱动是数字签名的,利用驱动漏洞可以在R0下结束进程、暂停进程,且可结束自我防护不严格的杀毒...
12月15日90 views评论param
漏洞分析
FineCMS最新版5.0.8两处getshell(每天一洞)
前言 要专心学习代码审计了,看看能不能坚持每天去分析一个漏洞,我会去按照大神们分析的代码去读懂代码逻辑然后再写上自己的理解放在我的博客上面。在文章的末尾我会贴上文章的链接,尊重原作者的版权! 第一处漏...
12月14日26 views评论getshell
param
Finecms 5.0.10 Multiple vulnerability analysis
0x01 前言 已经一个月没有写文章了,最近发生了很多事情,之前的每日一洞、每周一洞,到现在的每月一洞了。感觉去审计多了就好比如去刷题,但是我觉得应该做一个系统化的学习. 今天的这个CMS是FineC...
12月14日26 views评论param
vulnerability
泛微e-cology XmlRpcServlet文件读取漏洞复现
“ 人性的背后是白云苍狗,愿你我都是生活的高手。”免责声明:文章中内容来源于互联网,涉及的所有内容仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章中涉及的漏...
12月12日168 views评论param
servlet
CVE-2020-9496漏洞分析
CVE-2020-9496最近披露了Apache OFBiz 未授权远程代码执行漏洞,是对CVE-2020-9496的绕过,所以先来看看这个漏洞复现环境:17.12.03影响范围:Apache Ofb...
12月11日34 views评论struct
漏洞分析
Apache ActiveMQ jolokia远程代码执行漏洞(CVE-2022-41678)
漏洞说明漏洞编号:CVE-2022-41678漏洞描述:Apache ActiveMQ是最流行的开源、多协议、基于 Java 的消息代理。它支持行业标准协议,用户可以从多种语言和平台的客户端使用AMQ...
12月02日45 views评论servlet
远程代码执行漏洞
god_param v2
Part1 前言之前版本的god_param 没有指定域名,所以获取到的参数往往是多个网站的。一直懒得改,刚好昨天有身边的师傅在问我这个然后给我提bug,今天就直接改下。也有老哥给了建议增加控制按钮,...
11月28日11 views评论param
白名单
11