setting | CN-SEC 中文网

代码审计

如何从 0 在不断调试中挖掘一条新利用链

前言在挖掘在 hutool 组件的漏洞的时候，尝试构造利用 POC 的时候并不是那么顺利，最后也是一步一步不断调试分析构造出了我们的 POC失败的调用起源在一次失败的调用import cn.hutoo...

04月14日13 views评论

阅读全文

安全漏洞

CVE-2023-24205｜Clash for Windows远程代码执行漏洞（POC）

0x00 前言Clash是一个使用 Go 语言编写，基于规则的跨平台程序，可以帮助用户实现网络流量的转发和过滤。Clash支持从多种来源获取代理规则，包括本地配置，自定义配置和订阅规则。0x01 漏洞...

03月30日37 views评论

阅读全文

安全文章

深入解析哥斯拉二开的流量混淆技术

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

03月10日206 views评论

阅读全文

安全文章

禅道20.2版本以下SQL注入到RCE漏洞分析

原文链接：https://forum.butian.net/article/649 作者：0aspir1ng0 0x1 漏洞简介禅道20.2版本以下在个性化设置功能上存在一个未授权sql...

01月30日29 views评论

阅读全文

安全开发

哥斯拉（Godzilla）流量特征修改

0x01 User-Agent、Accept、Accept-Language 修改也可以在请求配置里设置，不过每次都有手动添加。先看下原版流量：在 src 下新建软件包 core.ui.compone...

01月01日17 views评论

阅读全文

安全文章

泛微OA CheckServer.jsp SQL注入漏洞分析及复现

环境配置l 系统：Winserver2019l 数据库：MySQL5.7.26l JDK：java 1.8.0_371l 复现版本：ecology9_V10.42源码分析接口位置：mobile/plu...

10月18日54 views评论

阅读全文

安全文章

nginxWebUi3.6.5 命令执行挖掘 | 干货

1. 简介由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！版本 nginxWebUI3.6.5 系统 linux官网https://www.nginxwebui.cn/2. 审计过程首先在c...

10月11日37 views评论

阅读全文

安全漏洞

数字通云平台存在setting文件上传漏洞

漏洞简介数字通云平台智慧政务OA产品是基于云计算、大数据、人工智能等先进技术，为政府部门量身定制的智能化办公系统。该系统旨在提高政府部门的办公效率、协同能力和信息资源共享水平，推动电子...

09月27日102 views评论

阅读全文

代码审计

PopojiCMS远程命令执行漏洞分析

0x01 需自行负责！！！0x02 环境配置漏洞来源： https://www.exploit-db.com/exploits/51982 源码下载地址： https://github.com/Pop...

08月14日33 views评论

阅读全文

安全文章

Windows远程桌面的奇技淫巧

前言 • Windows远程桌面简介远程桌面协议(RDP)是一个多通道(multi-channel)的协议，让使用者连上提供微软终端机服务的计算机(称为服务端或远程计算机) • 远程桌面的前置条件 ...

07月09日37 views评论

阅读全文

安全百科

网络安全缩略语汇编-B

缩写描述中文含义BAABusiness Associate Agreement商业伙伴协议商业伙伴协议（也称为商业伙伴合同）是一种具有法律约束力的文件，用于确定一方对个人医疗保健信息（PHI）的责任...

06月28日20 views评论

阅读全文

安全闲碎

Telegram用户物理定位

上篇里提到了跑手机号码工具可以配合物理定位类使用，相关问题问的人很多，一直也有很多好用的工具不过大多都很久没更新了，正好IvanGlinkin最近重写了工具Close-Circuit Telegram...

05月17日72 views评论

阅读全文

在线咨询

微信