payload - 第 39 | CN-SEC 中文网

安全文章

漏洞挖掘 | edusrc中另类的sql注入

码领资料获网安教程本文由掌控安全学院 - 满心欢喜投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）“忘记密码”处重置教务系统密码-成功登录首先，也...

07月17日27 views评论

阅读全文

安全文章

JWT攻击面分析

前言在目前微服务的架构下，使用JWT作为用户的身份认证方式越来越常见。本篇文章就来认识一下JWT的生成方式以及可能存在的安全风险。由于本人水平有限，文章中可能会出现一些错误，欢迎各位大佬指正，感激不尽...

07月17日38 views评论

阅读全文

安全文章

0day - NACOS RCE漏洞

Nacos 是 Alibaba 开源的一款用于微服务架构的注册中心和配置中心。它为开发人员提供了轻量级的服务发现和配置管理功能。影响范围nacos 2.3.2nacos 2.4.0其他...

07月17日40 views评论

阅读全文

安全文章

针对一个有意思的钓鱼免杀样本的详细分析

安全分析与研究专注于全球恶意软件的分析与研究前言概述原文首发出处：https://xz.aliyun.com/t/15022先知社区作者：熊猫正正近日跟踪到一个钓鱼样本，比较有意思，沙箱没有跑出行...

07月17日44 views评论

阅读全文

安全工具

GeoServer 综合漏洞扫描工具V1.2 发布！

0x01 工具更新增加了注入内存马的功能，修复了检测漏洞的判断方式，减少了误报率0x02 使用方法由于程序调用的是jMG-gui-obf-1.0.8，没有内置加载的payload，所以将java环境带...

07月17日407 views评论

阅读全文

代码审计

聊一聊我认识的python安全 | 附代码审计源码链接

0x00 前言在CTF比赛中，Python的题目种类也越来越多。记得之前遇到Python题目的模板注入反序列化题目笔者都会抄一下网上的Payload然后获取flag。但吃鸡腿，不知道鸡腿从何而来，是...

07月16日27 views评论

阅读全文

安全工具

fastjson漏洞批量检测工具

0x01 工具介绍 1. 根据现有payload，检测目标是否存在fastjson或jackson漏洞（工具仅用于检测漏洞、定位payload）2. 若存在漏洞，可根据对应payload进行后渗透利用...

07月16日40 views评论

阅读全文

安全文章

Hyacinth！一款Java漏洞集合工具

工具介绍之前攻防的时候，总是需要打开多个jar包，觉得很麻烦，就做了一款java漏洞集合工具，包含Struts2、Fastjson、Weblogic(xml)、Shiro、Log4j、Jboss、S...

07月15日33 views评论

阅读全文

安全文章

edusrc中另类的sql注入

本文由掌控安全学院 - 满心欢喜投稿 “忘记密码”处重置教务系统密码-成功登录首先，也是从网上收集到了一个该学院的学生信息文件，其中有登录系统最重要的xh、sfz等敏感信息然后我是尝试了 xh/...

07月15日9 views评论

阅读全文

安全文章

若依4.7.8版本计划任务rce复现

0x00 背景最近项目中发现很多单位都使用了若依二开的系统，而最近若依有个后台计划任务rce的漏洞，比较新，我还没复现过，于是本地搭建一个若依环境复现一下这个漏洞。这个漏洞在4.7.8版本及之前都存...

07月12日132 views评论

阅读全文

安全文章

Python Web内存马多框架植入技术详解

一前言内存马作为一种常见的攻击与权限维持手段，往往多见于Java Web应用中，然而在Python Web场景下却并不多见这种攻击。本文将针对Flask、Tornado与Django三个在日常开发...

07月10日25 views评论

阅读全文

安全漏洞

致远M3 RCE漏洞复现及内存马利用

漏洞原理和内存马利用其实早就有师傅分析过了，实际上是fastjson，想要进一步了解的话可以去原文章看看，我在这里引个路：https://xz.aliyun.com/t/13078 漏洞介绍致远m3...

07月10日255 views评论

阅读全文

漏洞挖掘 | edusrc中另类的sql注入

JWT攻击面分析

0day - NACOS RCE漏洞

针对一个有意思的钓鱼免杀样本的详细分析

GeoServer 综合漏洞扫描工具V1.2 发布！

聊一聊我认识的python安全 | 附代码审计源码链接

fastjson漏洞批量检测工具

Hyacinth！一款Java漏洞集合工具

edusrc中另类的sql注入

若依4.7.8版本计划任务rce复现

Python Web内存马多框架植入技术详解

致远M3 RCE漏洞复现及内存马利用

在线咨询

微信