params - 第 5 | CN-SEC 中文网

安全漏洞

用友U8 GRP SQL注入xp_cmdshell过滤绕过

红队攻防经常遇到用友XXE SQL注入xp_cmdshell被过滤。由于该洞(CNNVD-201610-923)并没有补丁，毕竟用友是去年才有的应急响应中心。xp_cmdshell执行会被过滤，双引号...

05月19日22 views评论

阅读全文

安全漏洞

CVE-2024-32113：Apache-OFBiz-目录遍历漏洞利用

介绍CVE-2024-32113 漏洞允许通过发送特制的 HTTP 请求在 Apache OFBiz 服务器上执行任意代码。在此请求中，攻击者使用参数../../../../../../etc/pas...

05月17日228 views评论

阅读全文

安全文章

黑名单过滤下为何还能无限制SQL注入

文章首发于奇安信攻防社区链接：https://forum.butian.net/share/29050x01 前言这周看到了某公众号发的springboot+vue实现的一个后台管理系统。阅读量还挺高...

05月13日35 views评论

阅读全文

安全工具

burpsuite_hack：SQL注入挖掘插件

介绍一款小众但是巨屌的SQL注入自动化判断工具。作者已经用它挖了好多注入了，个人认为是xia注入的plus版。该工具可以挖sql注入，ssrf。这里主要介绍sql注入功能，全部配置好了最后只需要...

04月29日226 views评论

阅读全文

安全漏洞

若依最新版后台RCE

若依定时任务的实现是通过反射调来调用目标类，目标类的类名可控导致rce。在版本迭代中增加了黑白名单来防御，但仍然可绕过！前言关于若依漏洞或者是审计的文章网上挺多的，本来就只是想写一下最新版4.7.8的...

04月22日168 views评论

阅读全文

WordPress和Typecho xmlrpc漏洞

一般大家都关注WordPress，毕竟用户量巨大，而国内的Typecho作为轻量级的博客系统就关注的人并不多。Typecho有很多借鉴WordPress的，包括兼容的xmlrpc接口，而WordPre...

04月20日安全博客35 views评论

阅读全文

代码审计

漏洞挖掘 | ruoyi框架管理系统漏洞

扫码领资料获网安教程本文由掌控安全学院 - zbs 投稿前言：在挖src的时候，可以通过信息收集收集弱口令，然后通过后台弱口令进入后台：发现一个弱口令进去后：【魔方老师提醒才发现，这个蓝色的草丛其实可...

03月31日107 views评论

阅读全文

安全漏洞

若依后台最新版RCE（在野）

免责声明：本公众号致力于安全研究和红队攻防技术分享等内容，本文中所有涉及的内容均不针对任何厂商或个人，同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失，均由使用者本人承担...

03月02日499 views评论

阅读全文

安全文章

Yakit+Melto实现API安全扫描

踩了不少坑，写个文档记录下。如果要复制底代码请访问飞书链接：https://c6k50tuyg6.feishu.cn/wiki/D2XEwjOb3iZzaKkMOvgcBFudnNb?from=fro...

02月16日46 views评论

阅读全文

安全文章

HTB-Monitored（Medium）

知识点：161端口SNMP分析；NagiosXi相关漏洞CVE（Sqli&后台RCE）；自执行服务脚本漏洞。Scan┌──(kali㉿kali)-[~/Desktop/htb/Monitore...

01月21日64 views评论

阅读全文

代码审计

仿蓝奏网盘代码审计

0x01 环境搭建首先用phpstudy_pro创建一个网站，再将目录导入，根目录设置public 其次设置静态，小皮上面配置就行 location / { if (!-e $requ...

01月14日84 views评论

阅读全文

安全漏洞

Apache Ofbiz XML-RPC RCE漏洞复现（CVE-2023-49070）

免责声明该公众号主要是分享互联网上公开的一些漏洞poc和工具，利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担...

01月05日71 views评论

阅读全文

用友U8 GRP SQL注入xp_cmdshell过滤绕过

CVE-2024-32113：Apache-OFBiz-目录遍历漏洞利用

黑名单过滤下为何还能无限制SQL注入

burpsuite_hack：SQL注入挖掘插件

若依最新版后台RCE

WordPress和Typecho xmlrpc漏洞

漏洞挖掘 | ruoyi框架管理系统漏洞

若依后台最新版RCE（在野）

Yakit+Melto实现API安全扫描

HTB-Monitored（Medium）

仿蓝奏网盘代码审计

Apache Ofbiz XML-RPC RCE漏洞复现（CVE-2023-49070）

在线咨询

微信