参考:https://blog.csdn.net/weixin_44677409/article/details/100741998经测试发现存在以下页面:index.phpadmin.phplogi...
虎符网络安全CTF writeup分享
比赛背景虎符网络安全CTF大赛在3月19号—3月20号已经落幕了,本次比赛斗哥一共派出了两只队伍参加,经过32个小时激战后成功杀进了决赛圈,分别获得企业队第六、第十六名的名次,总共攻破7道题目(4道M...
浅谈StandardServletMultipartResolver与文件上传bypass
在JavaWeb应用中,任意文件上传一直是关注的重点,攻击者通过上传恶意jsp文件,可以获取服务器权限。作为Java生态中最常使用的Spring框架,在进行文件上传解析时主要是...
2022starCTF——TreasureHunter
周末 *CTF 的一道智能合约题,继承之前RealWorld的Treasure Hunter合约还蛮长的,附件放在https://github.com/JayxV/Van1sh_U...
短信验证码最佳实践
点击下方“IT牧场”,选择“设为星标”来源 | www.cnblogs.com/guokun/p/11042903.html1、背景2、实现3、运行效果:4、源码5、总结1、背景年初,从外地...
Java核心技术卷Ⅰ —— 接口、匿名类、Lambda表达式、泛型
一、接口interface、多继承、所有方法均为抽象方法、没有字段二、匿名类匿名类格式如下new 父类构造器(参数列表)|实现接口() { //匿名内部类的类体部分 }它不能是抽象类,必须继承某个类或...
SSTI漏洞基础解析
flask基础 flask是python编写的一个WEB应用程序框架,flask由Armin Ronacher带领的一个Pocco团队开发,flask基于werkzeug WSGI工具包个jinjia...
GitHub Java CodeQL CTF
前言 GitHub Security Lab CTF 4: CodeQL and Chill - The Java Edition CVE-2020-9297 https://securitylab....
进程注入之FunctionStomping
本篇文章为进程注入系列的第八篇文章,同样是在process-inject项目的基础上进行进一步的扩展延伸,进而掌握进程注入的各种方式,本系列预计至少会有10篇文章,涉及7种进程注入方式及一些发散扩展,...
浅谈Log4j2在Springboot的检测-2
引言 前面分享了通过利用Accept的解析异常来触发log4j2漏洞,传送门:https://sec-in.com/article/1431。继续前面的思路,结合异常日志寻找其...
CreateSvcRpc - 一个自定义的RPC客户端,以SYSTEM用户身份执行程序
翻译 原文地址:https://www.x86matthew.com/view_post?id=create_svc_rpc 功能: 一个自定义的RPC客户端,以SYSTEM用户身份执行程序 Wind...
11