servlet - 第 11 | CN-SEC 中文网

安全漏洞

用友-NCBeanShell远程命令执行 POC

用友 NC 由于对外开放了 BeanShell 接口，攻击者可以在未授权的情况下直接访问该接口，并构造恶意数据执行任意代码从而获取服务器权限影响版本用友 NC 6.5 版本，漏洞编号：CNVD-2...

12月09日22 views评论

阅读全文

代码审计

Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (下)

前言本篇文章是《Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上)》的后续部分, 由于篇幅问题, 故分为两部分, 请大家衔接阅读...《Java 安全 | 从 Shiro 底层...

12月09日16 views评论

阅读全文

安全文章

Spring环境下有关内存马的回显总结

0x01 前言在学习各种内存马的过程中，关注到了观星实验室的一篇文章，较为全面的列举了在Spring环境下的有关内存马的实现技巧这里我们深入进行学习学习一下0x02 正文前景回顾网上常见的内存马方式是...

12月05日20 views评论

阅读全文

代码审计

ecology checkPassword 代码执行

【先知社区】未知渠道看到了ct发了一个漏洞，简单跟了一下 ecology的api接口都在@PATH下所以很快定位到了路由点代码很简单，看起来似乎只可能是checkPassword()出了问题，简...

12月03日28 views已关闭评论

阅读全文

安全文章

Java Filter型 Tomcat内存马

参考文章：https://www.cnblogs.com/nice0e3/p/14622879.htmlhttps://blog.csdn.net/xlgen157387/article/detail...

12月02日11 views评论

阅读全文

安全工具

SinkFinder 开源 - 版本更新+LLM能力

更新内容增加入口 Source 点判断增加 LLM 能力集成其他缓存优化 1. Source 点判断 webx 入口实现 com.alibaba.citrus.service.pipeline....

12月01日42 views评论

阅读全文

安全漏洞

科荣AIO系统UtilServlet接口处存在代码执行漏洞【POC】

漏洞描述：科荣AIO系统UtilServlet接口处存在代码执行漏。攻击者可能利用此漏洞执行恶意命令，导致系统执行未授权的操作，获取服务器权限。 01—Nuclei POC id: kerong-A...

11月25日53 views评论

阅读全文

安全工具

JNDIExploit工具冰蝎内存马连接

使用冰蝎客户端去连接JNDIExploit注入的冰蝎马，具体有两种办法，大致记录一下。 0x01 背景初次接触JNDIExploit这个工具，还是在log4j2漏洞爆发的时候，后面看到了一个可以注入...

11月24日34 views评论

阅读全文

安全文章

实战 | 苛刻条件下的RDP目标主机

0x01 概述在公司，摸鱼正欢的时候，还在看着我的64G内存的macbookpro快递物流到哪里的时候，同事欢呼的大喊出来扫到了用友nc，随即我就说哪里？把站发给我，我来打，然后就有了这篇水文.......

11月24日8 views评论

阅读全文

安全文章

基于ysoserial的深度利用研究（命令回显与内存马）

0x01 前言很多小伙伴做反序列化漏洞的研究都是以命令执行为目标，本地测试最喜欢的就是弹计算器，但没有对反序列化漏洞进行深入研究，例如如何回显命令执行的结果，如何加载内存马。在上一篇文章中↓↓↓记一次...

11月24日7 views评论

阅读全文

安全漏洞

用友U8 Cloud service/approveservlet SQL注入漏洞 PoC

00产品简介用友U8 Cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。是基于全新的企业互联网理念设计的云ERP系统，它旨在为企业提供集...

11月21日13 views评论

阅读全文

安全文章

JAVA安全-内存马系列-Filter

点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵...

11月21日21 views评论

阅读全文

用友-NCBeanShell远程命令执行 POC

Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (下)

Spring环境下有关内存马的回显总结

ecology checkPassword 代码执行

Java Filter型 Tomcat内存马

SinkFinder 开源 - 版本更新+LLM能力

科荣AIO系统UtilServlet接口处存在代码执行漏洞【POC】

JNDIExploit工具冰蝎内存马连接

实战 | 苛刻条件下的RDP目标主机

基于ysoserial的深度利用研究（命令回显与内存马）

用友U8 Cloud service/approveservlet SQL注入漏洞 PoC

JAVA安全-内存马系列-Filter

在线咨询

微信