XML外部实体注入简称XXE漏洞:XML用于标记电子文件使其具备结构性的标记语言,能够用来标记数据、定义数据类型,是一种容许用户对本身的标记语言进行定义的源语言。 01 XML基础知识php...
06月13日356 views渗透测试之XXE漏洞已关闭评论data
xml
渗透测试之XXE漏洞
06月13日356 views渗透测试之XXE漏洞已关闭评论data
xml
06月13日356 views渗透测试之XXE漏洞已关闭评论data
xml
Spring Cloud Gateaway远程代码执行漏洞研究报告
一、漏洞信息搜集1.1 漏洞信息表漏洞名称Spring Cloud Gateaway远程代码执行漏洞发布时间2022-03-01漏洞编号CVE-2022-22947威胁类型代码执行漏洞危害级别高危影响...
06月11日17 views评论cve
漏洞
【每天一个 Linux 命令】tree命令
1. 前言 本文主要讲解Linux系统上的tree命令的详细使用方法。 tree 命令是一个小型的跨平台命令行程序,用于递归地以树状格式列出或显示目录的内容。它输出每个子目录中的目录路径和文件,以及子...
06月11日16 views【每天一个 Linux 命令】tree命令已关闭评论windows
文件
实战|一次有趣的客户端RCE+服务端XXE挖掘
作者:J0o1ey原文:https://www.cnblogs.com/J0o1ey/p/15717362.html起因朋友给某甲方做渗透测试,奈何甲方是某知名保险,系统太耐艹,半天不出货兄弟喊我来一...
06月10日172 views评论http
rce
【干货】Strust2框架S2-037漏洞分析
李洁@360信息安全部云安全团队一、漏洞介绍该漏洞其实是S2-033的升级版,S2-033的描述是:针对使用REST插件且开启动态方法调用的应用,恶意攻击者可以利用该漏洞进行远程代码执行。当初官方和很...
06月08日25 views评论struts
xml
ATT&CK-Spring Framework(CVE-2022-22965)远程代码执行漏洞
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...
06月07日73 views评论文件
漏洞
【风险通告】2022年5月重点关注的漏洞
0x00 风险概述2022年5月,启明星辰安全应急响应中心监控到重点关注漏洞共计60+,漏洞来源包括CNVD、CNNVD、CVE、NVD、CISA、Internet等,这些漏洞涉及Apache、F5、...
06月07日1,037 views评论cve
漏洞
PHPCMSv9.6.0wap模块注入漏洞
漏洞分析/index.php?m=wap&c=index&a=init&siteid=1抓包访问:返回问题存在 set-cookie 处:Set-Cookie: AANIc_s...
06月07日129 views评论php
sql
一些用于查找敏感文件的语法
谷歌intitle:"index of" "WebServers.xml" filetype:xls inurl:"email.xls" intitle:"Index of" wp-admin int...
06月07日22 views评论admin
com
CVE-2022-30190 Follina Office RCE分析【附自定义word模板POC】
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任...
06月06日219 views评论cve
rce
渗透测试TIPS之Web(一)
侦查1、绘制攻击面;2、寻找子域名、ip、电子邮件,harvester是个不错的工具,可以使用如python theHarvester.py -d chinabaiker.com -n -c -t -...
06月02日58 views评论com
攻击者
Microsoft Office Word Rce 复现
漏洞简介MS Office docx 文件可能包含作为 HTML 文件的外部 OLE 对象引用。有一个 HTML 场景 ms-msdt: 调用 msdt 诊断工具,它能够执行任意代码(在参数中指定)。...
06月01日185 views评论文件
漏洞
30