var2 - 第 2 | CN-SEC 中文网

代码审计

昨晚正在做美滋滋的梦，突然画风一转，我竟然在代码审计

梦到我打开了电脑，然后对网站进行渗透，发现使用了报表系统，于是乎，开始审计积木报表系统，项目结构，如下，看上去很简单，实际上一点也不难核心代码在jar里面怎么全局搜索呢？反编译反编译，然后导入...

07月26日21 views评论

阅读全文

代码审计

某人力系统的代码审计

文章来源: https://forum.butian.net/share/3109 某人力系统的代码审计前言最近看该系统漏洞公开较多，想审计练练手权限绕过该系统是由java开发的，查看web....

07月11日17 views评论

阅读全文

代码审计

关于LDAP反序列化的利用浅析

免费&进群0x00 前言由于想要JNDI注入使用RMI协议其实存在一定的限制条件比如高版本设置了trustURLCodebase，虽然可以通过BeanFactory来加载EL表达式的方式来RC...

05月19日18 views评论

阅读全文

安全文章

CS 4.4 二开笔记：基础篇

本篇为 CS 4.4 二开基础篇，主要对整个破解流程、漏洞修复、主题修改、新增功能进行讲解，针对CS的扫描方法及Bypass方法后续进行补充。一使用工具1.Idea 20232.java-decomp...

02月23日41 views评论

阅读全文

安全闲碎

ServletContext、ApplicationContext、Standercontext

努力学习回答P牛的问题！只是很简单的了解了下，具体每个类提供了哪些功能没有详细描述，尤其是ApplicationContext、Standercontext，比如Standercontext中的Web...

02月07日15 views评论

阅读全文

安全闲碎

漏洞调试的捷径：精简代码加速分析与利用

Goby社区第36篇技术分享文章全文共：5053字预计阅读时间：13分钟 01 前言近期，Microsoft威胁情报团队曝光了DEV-0950（Lace Tempest）组织利用SysAid的事件。随...

01月15日28 views评论

阅读全文

代码审计

Java反序列化回显学习之Tomcat通用回显

前言反序列化命令回显和内存马是反序列化漏洞的具体实现，在渗透过程中主要依靠这两种方式来获取目标权限。因此，这是在学习Java反序列化漏洞过程中绕不开的两个点。由于在实战中遇到的环境都是不可预测的，对于...

05月23日25 views评论

阅读全文

安全文章

CS4.5优化Beacon回显编码

△△△点击上方“蓝字”关注我们了解更多精彩0x00 免责声明在学习本文技术或工具使用前，请您务必审慎阅读、充分理解各条款内容。1、本团队分享的任何类型技术、工具文章等文章仅面向合法授权的企业...

10月01日124 views评论

阅读全文

安全文章

CS4.5修改checksum后无法上线MSF问题

09月26日95 views评论

阅读全文

代码审计

RMI利用学习

RMIhttps://xz.aliyun.com/t/8706#toc-14https://xz.aliyun.com/t/7932#toc-4https://xz.aliyun.com/t/7930...

08月28日15 views评论

阅读全文

安全文章

记一次高版本下远程RMI反序列化利用分析

微信又改版了，为了我们能一直相见你的加星和在看对我们非常重要点击“长亭安全课堂”——主页右上角——设为星标🌟期待与你的每次见面～背景最近在一个项目的内网环境中遇到多个开着 RMI 端口的目标，按照之前...

01月19日420 views评论

阅读全文

在线咨询

微信