response - 第 13 | CN-SEC 中文网

一个能够利用MSSQL的xp_cmdshell功能来进行流量代理的脚本，用于在站酷分离且不出网SQL注入进行代理

1►工具介绍一个能够利用MSSQL的xp_cmdshell功能来进行流量代理的脚本，用于在站酷分离且不出网SQL注入进行代理。 2►其它 1、upload.py 能够方便...

01月09日安全工具45 views评论

阅读全文

安全文章

云函数隐藏C2

工具版本：cobalt strike 4.7云函数平台：腾讯云云函数（Cloud Functions）是一种无服务器计算服务，它允许你运行代码而无需管理服务器。云函数配置1.新建函数2.编辑代码代码示...

01月07日49 views评论

阅读全文

安全漏洞

[漏洞复现] CVE-2023-47473 企语iFair协同管理系统任意文件读取

本人非原创漏洞作者，文章仅作为知识分享用一切直接或间接由于本文所造成的后果与本人无关如有侵权，联系删除产品简介企语iFair协同管理系统是一款专业的协同办公软件，该管理系统兼容性强，适合多种企...

01月04日122 views评论

阅读全文

代码审计

代码审计：某S通未授权JDBC反序列化漏洞

需要配置mysql数据库依赖这段代码是一个 HttpServlet 类的 doPost 方法，用于处理 POST 请求。在这个方法中，首先从请求参数中获取名为 “command” 的参...

12月26日125 views评论

阅读全文

【漏洞归纳】CORS跨域资源读取漏洞

CORS跨域资源读取漏洞漏洞名称CORS跨域资源读取漏洞漏洞地址漏洞等级中危漏洞描述CORS（Cross-Origin Resource Sharing）跨源资源读取漏洞是指在使用CORS机制进行跨域...

12月25日安全文章43 views评论

阅读全文

安全漏洞

S2-001远程代码执行漏洞

漏洞简介漏洞在于，当用户提交表单数据并且验证失败时，服务器使用OGNL表达式%{value}解析用户先前提交的参数值，并重新填充相应的表单数据。例如，在注册或登录页面。当提交失败时，服务器通常默认返回...

12月25日21 views评论

阅读全文

安全文章

实战|src众测漏洞案例沉浸式分享

众测案例分享，全加密站点从无从下手到抽丝剥茧，本文将将你代入我的视角，做一次沉浸式渗透测试。（本文首发博客：https://sanshiok.com/archive/9.html，点击阅读原文跳转）0...

12月25日82 views评论

阅读全文

安全漏洞

【漏洞复现】红帆OA iorepsavexml 任意文件上传漏洞

免责声明：该文章仅用于技术讨论与学习。请勿利用文章所提供的相关技术从事非法测试，若利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果均与文章作者...

12月20日229 views评论

阅读全文

安全漏洞

RCE漏洞复现 | CVE-2023-26035

免责声明本公众号着重分享技术内容，所提供信息旨在促进技术交流。对于因信息使用而引起的任何损失，本公众号及作者概不负责。请谨慎行事，安全至上。前言某日在网上游荡，碰到一个登录站点，Zone...

12月18日232 views评论

阅读全文

安全文章

记一次HW实战的Zimbra RCE

【本文仅为学习和交流，切勿用作非法攻击，参与非法攻击与笔者无关！！！】这个hvv已经很久了，还记得是刚毕业第一次参加GFYL的时候，一转眼都过去好久了，时间真快呀，自己还是一如既往的ca...

12月17日161 views评论

阅读全文

安全博客

Tomcat Listener 型内存马分析

Tomcat Listener 型内存马 Listener 加载原理众所周知 Servlet 规范中一共定义了 8 个 Listener 接口 http://c.biancheng.net/servl...

12月15日3 views评论

阅读全文

安全博客

Java Servlet 基础

最近准备研究研究 Servlet 的几种内存马, 然后发现之前学过的 Servlet 有点忘了… 遂整理 Servlet 基础的相关笔记文章不会涉及太多细节和深入性的东西, 只是方便日...

12月15日10 views评论

阅读全文