背景国内的Docker镜像服务似乎突然进入了寒冬,不仅Docker镜像服务受到了影响,连NPM镜像也可能面临下架的风险。这对依赖这些服务的开发者们来说,无疑是一个不小的困扰。近日,SJTUG(上海交通...
第二课-零基础学习代码审计第2节-JavaWeb简单demo实现
需求如下:1、身份:包含管理员和普通用户2、登陆成功后都跳转到首页,管理员有两个按钮:查看个人信息和查看所有人员信息 。普通用户只能查看个人信息。3、保证权限校验的正确,不能存在垂直越权。4、前端页面...
Boofuzz在二进制IOT漏洞挖掘中的简单运用
一正文环境Ubuntu 20.04Python、pip、qemu之类的直接用apt-get下载安装就好。binwalk里有需要用到sasquatch程序,需要手动下载一下,命令如下:sudo git ...
甲方安全建设-利用AI大模型协助安全运营
前言现在AI流行,chatgpt官方和很多公司都开放了类gpts接口,也就是用户可以创建自己的gpt,内置好自己的知识库和处理逻辑,然后根据用户的输入进行处理和输出,那么在安全运营的工作中,我们也可以...
CVE-2024-36837|CRMEB电商管理系统存在SQL 注入漏洞(POC)
0x00 前言 西安众邦网络科技有限公司是一家致力于互联网软件设计、研发、销售为一体的高新技术企业。自2014年成立以来,众邦科技将客户关系管理与电子商务应用场景进行深度集成,围绕新零售、智慧商业、企...
记某平台课程学习快速通关
0x01 前言内容比较水很简单,这里主要记录一下后面可能还用得到。接到通知要完成课程学习任务,占一定比例考试成绩,时长需要满差不多30个小时,头都大了。挨个看不知道要到啥时候,全部点开放到后台播放占用...
炒冷饭之实战weblogic XMLDecoder反序列化
一、 历史 某次实战中在内网看到了weblogic,是存在XMLDecoder的低版本,早几年是易于利用的入口。现在经过多轮整改,已经很难见到,偶尔在内网中还能看到它(当然很大可能是蜜罐)。正常...
Aj-report 二次就业
微信公众号:黑伞安全 关注可了解更多的网络安全技术分享。如有问题或建议,请公众号留言; 如果你觉得挖不到src漏洞,希望黑伞安全知识星球对你有帮助,欢迎加入[1] 内容目录 aj-report 二次就...
【悬赏问答】复现疑问求解答:Microsoft Sharepoint XXE(CVE-2024-30043)
最近这两天我在复现Microsoft Sharepoint XXE(CVE-2024-30043)漏洞的过程中遇到了一些问题,反复调试研究无果,折磨了很长时间,现在决定在我公众号发出悬赏,解决成功的直...
RevSuit!灵活的反向连接平台
工具介绍 RevSuit是一个灵活而强大的反向连接平台,专为接收渗透中目标主机的连接而设计,目前支持HTTP、DNS、RMI、LDAP、MySQL和FTP协议。灵活的: 通过灵活的规则来捕获连接通过二...
CVE漏洞信息与poc链接爬取
前言 之前业务上有个要求,对cve信息和漏洞利用脚本进行爬取,然后再检测目标机器Windows上是否缺少对应的补丁。 在这个功能基础上我拓展成了爬取CVE漏洞信息和poc链接的脚本,爬取信息会存进数据...
CVE-2024-23897 | Jenkins未授权文件读取
影响描述 CVE-2024-23897是一个涉及Jenkins未授权文件读取的漏洞。它利用了Jenkins命令行接口(CLI)的特性,其中CLI使用args4j库解析命令行参数。args...
28