render - 第 2 | CN-SEC 中文网

CTF专场

赛题记录 | 2025西湖论剑两道WEB的一些思考

赛题记录 | 2025西湖论剑两道WEB的一些思考例题1: Python SSTI目标站点存在 SSTI, 通过命令执行, 拿到源码如下:from flask import Flask, reques...

01月19日24 views评论

阅读全文

安全漏洞

CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析

前言朋友圈看到有人转发了一篇“CVE-2024-25600：WordPress Bricks Builder RCE”，感觉挺有意思，点进去看了下，可是从头到尾看得我有点迷糊，本着打破砂锅问到底的原则...

01月07日65 views评论

阅读全文

代码审计

SSTI模板注入漏洞详解（附一键getshell工具）

01.简介什么是SSTI： SSTI漏洞的全称是服务器端模板注入（Server-Side Template Injection）漏洞。这是一种在服务器端模板引擎中注入恶意代码的攻击方式...

01月02日254 views评论

阅读全文

安全文章

Jinjia2-SSTI响应头外带数据分享

本文由掌控安全学院 - fupanc 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn） Jinjia2-SSTI响应头带数据这个利用方式比较新...

12月26日35 views评论

阅读全文

安全漏洞

CVE-2024-25600：WordPress Bricks Builder RCE

关注我们❤️，添加星标🌟，一起学安全！作者：良夜@Timeline Sec 本文字数：3434阅读时长：3～5mins声明：仅供学习参考使用，请勿用作违法用途，否则后果自负0x01 简介Bricks ...

11月17日43 views评论

阅读全文

安全文章

flask ssti 模板注入

获网安教程免费&进群本文由掌控安全学院-s_s投稿0x01:flask是基于python开发的一个轻量级web应用，可以用来搭建web环境。安装flask框架命令：pip install ...

10月18日10 views评论

阅读全文

安全漏洞

（CVE-2024-45195）Apache OFbiz 一次又一次从未授权到RCE的分析

漏洞概要Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。前两天OFBiz官方发布了最新的 18.12.16，这次也主要...

09月19日54 views评论

阅读全文

安全文章

原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析

作者：Sunflower@知道创宇404实验室时间：2024年9月12日1 前言漏洞名称：Apache OFBiz SSRF to RCE漏洞影响：version < 18.12.16CVE：C...

09月13日66 views评论

阅读全文

CTF专场

2024巅峰极客挑战赛-初赛Write up

WebEncirclingGame直接玩，游戏很简单一分钟搞定：GoldenHornKingssti但是没回显，正好这两天分析python各个框架内存马，直接上个fastapi内存马即可。import...

08月19日75 views评论

阅读全文

代码审计

某软报表|SpringKill对0day模板注入的代审分析（无POC）

此文章由SpringKiller安全研究师傅产出，这位佬是一个能独立开发一款企业级IAST，伸手0day伸脚1day，能手搓操作系统用脚逆向的师傅，还是OWASP的代码贡献者之一。哦，差点忘了，这个师...

07月31日20 views评论

阅读全文

利用某种组件来实现SSRF

正文正常请求在正常情况下，Prerender会接受用户代理为SlackbotLinkExpanding 1.0的请求，并渲染网页内容。这种请求不会包含恶意的JavaScript代码。例如：curl -...

07月12日安全文章89 views评论

阅读全文

安全新闻

Evernote 应用中PDF.js字体注入导致跨平台远程代码执行漏洞

前言一句话总结(点击原文跳转) 主要描述了一个在Evernote应用中发现的关键性漏洞，该漏洞可以通过嵌入恶意PDF文件到笔记中，利用PDF.js的字体注入进行JavaScript代码执行，进而通过...

07月11日48 views评论

阅读全文

赛题记录 | 2025西湖论剑两道WEB的一些思考

CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析

SSTI模板注入漏洞详解（附一键getshell工具）

Jinjia2-SSTI响应头外带数据分享

CVE-2024-25600：WordPress Bricks Builder RCE

flask ssti 模板注入

（CVE-2024-45195）Apache OFbiz 一次又一次从未授权到RCE的分析

原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析

2024巅峰极客挑战赛-初赛Write up

某软报表|SpringKill对0day模板注入的代审分析（无POC）

利用某种组件来实现SSRF

Evernote 应用中PDF.js字体注入导致跨平台远程代码执行漏洞

在线咨询

微信