原创作者:woojay ,感谢作者。作者博客:www.blankshell.com思路:逻辑漏洞+编辑器0day=getshell+内网漫游又是一个深夜,记录前段时间测试的过程。唉,每次小有所学就要懈...
后渗透之权限维持的13种方法-Windows
0x1 匿名用户net user administrator$ woaijiushi /add && net lo...
【审计学习】PHP审计的危险函数概括
内容主要是给没有PHP基础的人看1一、初步了解结构> 首先在你拿到代码的时候,先要看看源码是否加密,然后你需要去解密,找工具,或掏点钱去某宝,这里不细说,然后我们需要先了解...
某大型CMS后台注入从分析到利用
本文首发于奇安信攻防社区社区有奖征稿· 基础稿费、额外激励、推荐作者、连载均有奖励,年度投稿top3还有神秘大奖!· 将稿件提交至奇安信攻防社区(点击底部 阅读原文 ,加入社区)点...
CWE-15 系统设置或配置在外部可控制
CWE-15 系统设置或配置在外部可控制 External Control of System or Configuration Setting 结构: Simple Abstraction: Bas...
CWE-382 J2EE不安全实践:使用System.exit()
CWE-382 J2EE不安全实践:使用System.exit() J2EE Bad Practices: Use of System.exit() 结构: Simple Abstraction: V...
.net反序列化之JavaScriptSerializer - Y4er
JavaScriptSerializer JavaScriptSerializer是微软内部自带的api,可以在对象和json字符串之前来回转换。其命名空间位于System.Web.Script.Se...
.net反序列化之DataContractSerializer - Y4er
DataContractSerializer 使用提供的数据协定,将对象序列化和反序列化为 XML 流或文档,多用于序列化和反序列化 Windows Communication Foundation ...
.net反序列化之LosFormatter - Y4er
LosFormatter LosFormatter一般用于序列化存储视图流状态,多用于Web窗体,如ViewState。LosFormatter封装在System.Web.dll中,命名空间为Syst...
.net反序列化之SoapFormatter - Y4er
SoapFormatter SoapFormatter类似XmlSerializer,用于生成基于xml的soap数据流,命名空间位于System.Runtime.Serialization.Form...
.net反序列化之XmlSerializer - Y4er
XmlSerializer 类 XmlSerializer是微软自带的序列化类,用于在xml字符串和对象之间相互转化。其命名空间:System.Xml.Serialization,程序集为:Syste...
浅析ASN在信息收集中的作用 - xq17
浅析ASN在信息收集中的作用 0x0 前言 关于ASN,也许很多人和我一样在大学里面学过,但是可能对此不是很深入了解,虽然只是一个很小的点,这里我还是想把它展开下并浅述下其应用,希望能够帮助大家理...
27