substr | CN-SEC 中文网

安全漏洞

【大量存在】CrushFTP 存在权限绕过漏洞(CVE-2025-2825)

点击上方蓝字关注我们并设为星标0x00 前言CrushFTP 是一种广泛使用的多协议文件传输服务器，提供广泛的功能集，包括与 Amazon S3 兼容的 API 访问，CrushFTP 支持多种协议...

04月06日36 views评论

阅读全文

安全文章

【打破ORM不败神话】记手注击穿ORM到后台的一次渗透

本文为“保与与SQL注入的一千次相遇”，第五个案例。其它案例请看文末合集【One night in SQL injection】。等了半年没等来奇安信的活动，我有点像深宫里的怨妇^ ^。不管了。. ....

03月31日8 views评论

阅读全文

渗透工程师手册：60个SQL注入Payload清单集合

联合注入Payload报错注入Payloadextractvalue函数updatexml函数BigInt数据类型溢出floor函数堆叠注入Payload盲注Payload布尔盲注SQL联合注入Pay...

02月19日安全文章23 views评论

阅读全文

安全百科

SQL注入测试步骤|注入类型

简介测试的靶机为综合靶机DVWA，为基础步骤，没有前端过滤。往期推荐Kioptrix-Level Four 综合靶机实战思路Dirb | 目录枚举工具相较于DIrsearch的另一款工具shell脚...

02月11日24 views评论

阅读全文

CTF专场

DIDCTF-2021陇剑杯

前言记录DIDCTF的2021陇剑杯的题目，题目质量还是可以的。零、签到题此时正在进行的可能是＿协议的网络攻击。（如有字母请全部使用小写，请自行修改文件后缀名为.zip）过滤HTTP协议，看到全都是G...

02月08日22 views评论

阅读全文

安全漏洞

S2-062 远程命令执行漏洞复现(CVE-2021-31805)

漏洞简介2022年4月12日，Apache Struts2发布安全公告（S2-062），修复了Apache Struts2中的一个远程代码执行漏洞（CVE-2021-31805）。该漏洞由于对CVE-...

01月16日118 views评论

阅读全文

移动安全

某违法视频app解密

一,工具jadxFiddler.exe二,分析流程1，播放视频播放app里视频(因为视频类容属于非法内容，所以打了很多码，请谅解)，发现提示需要开通vip。开始抓包2，抓包(因为数据是https，设备...

01月13日18 views评论

阅读全文

安全博客

sqli通关笔记（2）持续更新ing~

sqli 5-6关就考验的就是关于盲注的知识了我们先了解一下布尔盲注sql注入截取字符串常用三大法宝函数1.mid函数格式: MID(column_name,start[,length])参数描述co...

01月11日7 views评论

阅读全文

安全博客

CTFSHOW刷题之旅爆破[21-28]

WEB21抓包发现Authorization: 处有base64加密解密后得知格式如下将数据包发送至intruder。选择sniper模式点击payload，选择以下模块第三个放自己的密码字典就不截图...

01月11日5 views评论

阅读全文

安全开发

哥斯拉（Godzilla）流量特征修改

0x01 User-Agent、Accept、Accept-Language 修改也可以在请求配置里设置，不过每次都有手动添加。先看下原版流量：在 src 下新建软件包 core.ui.compone...

01月01日23 views评论

阅读全文

安全文章

原创 | 浅谈httpClient组件与ssrf

点击上方蓝字关注我吧关于HTTP Clientssrf是比较常见的漏洞，可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般存在于可以发起网络请求的方法和对应的业务。HttpClient...

12月18日15 views评论

阅读全文

安全文章

SRC中的几个sql注入挖掘过程

sql注入1一个查询的数据包，statusCode参数，单引号报错再加个单引号正常最终经过测试，下面返回正常，代表执行e的709次方， || 为连接符710次方太大就会报错，这里感觉是orcale数据...

11月10日7 views评论

阅读全文

【大量存在】CrushFTP 存在权限绕过漏洞(CVE-2025-2825)

【打破ORM不败神话】记手注击穿ORM到后台的一次渗透

渗透工程师手册：60个SQL注入Payload清单集合

SQL注入测试步骤|注入类型

DIDCTF-2021陇剑杯

S2-062 远程命令执行漏洞复现(CVE-2021-31805)

某违法视频app解密

sqli通关笔记（2）持续更新ing~

CTFSHOW刷题之旅爆破[21-28]

哥斯拉（Godzilla）流量特征修改

原创 | 浅谈httpClient组件与ssrf

SRC中的几个sql注入挖掘过程

在线咨询

微信