webapps | CN-SEC 中文网

安全漏洞

关于Spring framework rce（CVE-2022-22965）的一些问题思考

引言千呼万唤始出来，在Spring rce漏洞在野曝光了一段时间后，Spring官方终于在3月31日发布了漏洞信息，在新版本v5.3.18和v5.2.20中修复了该漏洞，漏洞编号CVE-2022-22...

02月22日13 views评论

阅读全文

CTF专场

CTFSHOW渗透赛(复盘+思路延伸)

本篇内容为CTFShow渗透赛复盘，官方wp已放出，参加的师傅很多也很强劲但也整整持续了六天才拉下尾幕(虽然有小部分因为环境原因)，但是大菜鸡师傅出的题目质量还是杠杠的收获颇丰，学习了WP后也是专门放...

01月17日33 views评论

阅读全文

安全文章

coremail漏洞之我见(碎碎念)

前段时间朋友发了coremail的漏洞，大概看了下，然后对比了下源码。大概理解了一下原理。事实上朋友发的poc是错误的，也是为了误导各位。防止各位干坏事。敏感时期POC在这就不乱发了。...

12月18日66 views评论

阅读全文

CTF专场

【全国职业技能大赛信息安全与评估赛项】任务二-国赛Linux应急响应

扫码领资料获网安教程网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。0x1 任务简介序号任务内容1请提交攻击者的IP地址...

12月08日71 views评论

阅读全文

CTF专场

flag{网鼎杯之java代码审计入门}

01—赛题截图02—接口测试• 我们先上传文件抓包，发送到repeter响应如下• 我们使用下载接口去下载一个不存在的文件，回显“资源被删除”03—任意文件下载验证•测试一下下载文件夹暴露了上传文件夹...

10月10日33 views评论

阅读全文

安全文章

Proving Grounds Practice- Payday

前言在未来将会持续更新Proving Grounds Practice内的靶机Write Up，近期本人也通过了OSCP考试，所以将打靶的所有笔记共享出来，所有的靶机推荐来源于以下链接：https:/...

09月28日12 views评论

阅读全文

安全漏洞

综合安防 uploadAllPackage任意文件上传

❝ 综合安防 uploadAllPackage任意文件上传漏洞细节漏洞点位于 webapps/center_install/WEB-INF/classes/com/hikvision/center...

08月03日155 views评论

阅读全文

代码审计

JspxCMS 多个漏洞代码审计分析，任意文件上传，Shiro反序列化，SSRF等，搭建调试简单。

嗨，大家好，我是闪石星曜@云渡。今天为大家分享《JspxCMS 系统的代码审计漏洞分析》，该篇文章是来自内部圈子“每周任务安排”计划下不错的文章，来自羊羽师傅。进入正文。任意文件上传登录后台（账...

07月10日84 views评论

阅读全文

安全漏洞

漏洞复现综合安防 installation远程命令执行

声明本文作者：执着本文字数：2077字阅读时长：约5分钟附件/链接：点击查看原文下载本文属于【狼组安全社区】原创奖励计划，未经许可禁止转载由于传播、利用此文所提供的信息而造成的任何直接或者...

06月10日115 views评论

阅读全文

安全文章

DC-3

前言首先大家一定要记住，所有未经授权的渗透都是违法的，所以大家切勿一通乱黑，被关进橘子有的哭了。我们可以在本地搭建一些本地靶场，比如Dvwa项目介绍靶机：172.16.10.31攻击机：...

01月06日30 views评论

阅读全文

安全工具

Web应用(webapps)暴力破解小工具

介绍Web应用(webapps)暴力破解小工具,用于一键爆破常见Web应用(e.g. tomcat weblogic nexus),zero-crack内置了各组件的常用或默认登录组合,若不指定用户名...

10月14日77 views评论

阅读全文

安全漏洞

【漏洞预警】用友-NC-Cloud远程代码执行漏洞

[漏洞预警]用友-NC-Cloud远程代码执行漏洞前言昨天开始疯传的NC-Cloud全版本通杀的RCE，捡到POC之后立马复现成功。用友NCCloud大型企业数字化平台，深度应用新一代数字智能技术，...

08月11日307 views评论

阅读全文