parser - 第 2 | CN-SEC 中文网

安全百科

【渗透知识】XXE注入

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不承担任何法律及连带责任。[ 简介 ]XXE注入在...

02月14日16 views评论

阅读全文

安全文章

Fastjson1.2.25-1.2.41反序列化利用

书接上文我们继续分析fastjsonFastjson1.2.24反序列化利用自1.2.25起autotype默认为false。AutoType为false时只允许白名单的类，但白名单默认是空的，所以该...

02月12日19 views评论

阅读全文

安全工具

如何使用LDAPX动态检查和转换LDAP数据包

关于LDAPX LDAPX是一款功能强大且灵活的LDAP代理，可以帮助广大研究人员动态检查和转换其他工具生成的所有 LDAP 数据包。工具要求 Golang 工具安装由于该工具基于Go开发，因此我...

02月11日13 views评论

阅读全文

CTF专场

2025春秋杯网络安全联赛冬季赛-部分misc

前言由于这几天和其他比赛冲突了，没有当场做，结束后容器不能起了，所以web题没有做，这里只记录几个misc题。1、See anything in these pics?题目内容：TBH THERE A...

01月22日110 views评论

阅读全文

安全文章

WAF绕过 | 记一次实战中对Fastjson waf的绕过

原文链接：https://xz.aliyun.com/t/15602 作者：1341025112991831 0x1 前言最近遇到一个fastjson的站，很明显是有fastjson漏洞...

01月09日31 views评论

阅读全文

安全闲碎

利用抽象语法树注入从原型污染到RCE研究

本文介绍如何使用一种称为 AST 注入的新技术在两个著名的模板引擎中RCE。AST 注入什么是AST[AST] https://en.wikipedia.org/wiki/Abstract_synta...

01月08日18 views评论

阅读全文

安全文章

GeoServer Property evalute 远程代码执行漏洞 (CVE-2024-36401)

日期：2025年01月06日作者：goout 介绍：GeoServer Property evalute 远程代码执行漏洞。 0x00 漏洞简介 GeoServer 是一个用 Java 编写的开...

01月06日28 views评论

阅读全文

未分类

【武器开发】| 开发你的第一个BOF

BOF武器化开发！应群里某位师傅的想法，写写一些BOF的文章，今天的文章已经能够开发大部分的BOF了日后也会更新CNA脚本的编写以及踩坑记录~，并且圈内也会发一些我们写的BOF源代码，也一并分享出...

01月03日63 views评论

阅读全文

安全文章

漏洞分析 | 利用 CodeQL 分析 fastjson 1.2.80 利用链

前言前阵子浅蓝师傅在Kcon2022上公开了fastjson 1.2.80漏洞的利用思路和Gadget，根据漏洞利用思路，本文分析下如何利用CodeQL去挖掘fastjson 1.2.80的这些利用链...

01月02日20 views评论

阅读全文

安全文章

CodeQL之前置知识AST生成过程

JCTree官方文档语法树是从JCTree实现com.sun.source.Tree的子类型及其子类型构建的今天主要是深入看下AST的数据结构，方便以后更好的处理AST数据。先找到JCTree(co...

01月02日10 views评论

阅读全文

代码审计

PbootCMS前台SQL注入漏洞（下）

0x01前言在前一篇文章中介绍了一个仍然可以用于最新版PbootCMS的老漏洞DVB-2021-2510,并对漏洞流程进行分析，给出了在有限条件下利用漏洞的方式。本文将在前一篇文章的基础上继续给出新的...

12月24日37 views评论

阅读全文

安全文章

8,000 美元漏洞赏金亮点：Opera 浏览器中的 XSS 到 RCE

漏洞赏金猎人Renwa延续了之前的帖子，撰写了关于他向Opera 私人漏洞赏金计划提交的第二个漏洞：Opera 的 My Flow 功能中的远程代码执行。以下是他的写作和经验。当然，所描...

12月22日11 views评论

阅读全文

【渗透知识】XXE注入

Fastjson1.2.25-1.2.41反序列化利用

如何使用LDAPX动态检查和转换LDAP数据包

2025春秋杯网络安全联赛冬季赛-部分misc

WAF绕过 | 记一次实战中对Fastjson waf的绕过

利用抽象语法树注入从原型污染到RCE研究

GeoServer Property evalute 远程代码执行漏洞 (CVE-2024-36401)

【武器开发】| 开发你的第一个BOF

漏洞分析 | 利用 CodeQL 分析 fastjson 1.2.80 利用链

CodeQL之前置知识AST生成过程

PbootCMS前台SQL注入漏洞（下）

8,000 美元漏洞赏金亮点：Opera 浏览器中的 XSS 到 RCE

在线咨询

微信