whoami - 第 2 | CN-SEC 中文网

安全新闻

新的whoAMI攻击利用 AWS AMI 名称混淆进行远程代码执行

导读网络安全研究人员披露了一种名为 whoAMI 的新型名称混淆攻击，这种攻击允许任何发布具有特定名称的亚马逊系统映像 ( AMI ) 的人在亚马逊网络服务 (AWS) 账户内执行代码。Datado...

02月17日16 views评论

阅读全文

安全文章

SecMap - SSTI（jinja2）

🍊 SecMap - SSTI（jinja2）这是橘子杀手的第 46 篇文章题图摄于：杭州 · 青山湖SSTI（Server-Side Template Injection）服务端模板注入。SSTI ...

02月16日20 views评论

阅读全文

CTF专场

2022 CISCN全国初赛-wp

点击蓝字 · 关注我们01Web1Ezpop<?phpnamespace think{abstract class Model{private $lazySave = false;privat...

02月13日20 views评论

阅读全文

安全百科

SSTI

01定义 SSTI（Server-Side Template Injection），服务端模板注入，是攻击者通过向模板引擎（如Jinja2、Thymeleaf）注入恶意代码，进而控制服务器的高危漏洞。...

02月13日52 views评论

阅读全文

安全文章

【burpsuite靶场-服务端4】命令注入漏洞

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢...

02月05日28 views评论

阅读全文

从算数扩展到 RCE

从算数扩展到 RCE 算数扩展导致的 RCE，有趣，可惜利用场景比较少见。起源大家在初三的时候就知道了 shell 可以通过 $变量名来实现引用变量。举例 I=$(whoami); echo ...

01月10日安全博客5 views评论

阅读全文

安全博客

Linux OS 命令注入指北

Linux OS 命令注入指北当应用需要调用一些外部程序去处理的情况下，就会用到一些执行系统命令的函数，这些函数将字符串当做参数传递给 shell 来当做系统命令来执行，若用户可以控制参数，就有可能...

01月10日8 views评论

阅读全文

fscan存在命令注入漏洞[doge][doge]

一个国外的哥们在fscan项目提了个issue。大概说的是fscan存在一个命令注入的漏洞。存在漏洞的代码如下# Vulnerable way to build commandcommand = ex...

12月16日安全文章10 views评论

阅读全文

安全文章

富贵与牛子哥自研后门的一次对抗经历

安全新闻与牛子哥自研后门的一次对抗经历今天不水文了。来个有用的~ 前两天大手子给我发来了一个后门，不是cobalt strike 也不是MSF。算是自研的吧。他问我什么时候能排查出来。于是乎就开始了应...

12月03日9 views评论

阅读全文

安全文章

[使用 HEVD 破解 Windows 内核] 第 4 章：shellcode 提升权限

shellcode 提升权限在前四章中，我们所做的一切基本上都是利用基于堆栈的缓冲区溢出并绕过一些内核缓解措施。除了内核特定的内存缓解措施外，到目前为止，利用情况一直很普通：没有stack over...

11月28日16 views评论

阅读全文

安全文章

与牛子哥自研后门的一次对抗经历

安全新闻与牛子哥自研后门的一次对抗经历今天不水文了。来个有用的~前两天大手子给我发来了一个后门，不是cobalt strike 也不是MSF。算是自研的吧。他问我什么时候能排查出来。于是乎就开始了应急...

11月28日24 views评论

阅读全文

破解命令注入漏洞：详解原理、绕过技巧与防护策略

在Web安全领域中，命令注入漏洞（OS Command Injection）一直是一个危害严重的安全问题。本文将深入浅出地介绍命令注入漏洞的原理、检测方法、利用技巧以及防护措施。一、什么是命令注入漏洞...

11月25日HW&HVV162 views评论

阅读全文

新的whoAMI攻击利用 AWS AMI 名称混淆进行远程代码执行

SecMap - SSTI（jinja2）

2022 CISCN全国初赛-wp

SSTI

【burpsuite靶场-服务端4】命令注入漏洞

从算数扩展到 RCE

Linux OS 命令注入指北

fscan存在命令注入漏洞[doge][doge]

富贵与牛子哥自研后门的一次对抗经历

[使用 HEVD 破解 Windows 内核] 第 4 章：shellcode 提升权限

与牛子哥自研后门的一次对抗经历

破解命令注入漏洞：详解原理、绕过技巧与防护策略

在线咨询

微信