点击蓝字 关注我们日期:2024年04月19日作者:hdsec介绍:总结几种 windows 中常见的无文件落地攻击手法,实际应用中还需结合免杀处理。0x00 前言无文件落地攻击(Fileless A...
ATT&CK -
XSL 脚本处理 可扩展样式表语言 (XSL) 文件通常用于描述 XML 文件中的数据处理和渲染方式。 为了支持复杂的操作,XSL 标准包括对各种语言的嵌入式脚本的支持。 攻击者可能会滥用此功能来执行...
【核弹级漏洞预警】苹x果、微x、支x宝、小x浏览器、携x应用等均存在任意文件读取漏洞
一、漏洞描述漏洞描述:Google Chrome 是 Google 公司开发的网页浏览器,Web Audio 是用于在浏览器中进行音频处理和合成的 API,Google Chrome 121.0.61...
XSLT服务器端注入(附靶场)
何为XSLT XSLT是一种基于XML的语言,用于将XML文档转换成其他格式的文档,如HTML、纯文本或其他类型的XML。它通过定义一系列的转换规则来实现这一过程。XSLT的强大之处在于它能够处理复杂...
[最新微信受影响] Chrome 任意文件读取漏洞EXP
[最新微信受影响] Chrome 任意文件读取EXP漏洞背景简要描述:Libxslt 是基于 WebKit 的浏览器(如 Chrome、Safari 等)中使用的默认 XSL(eXtensible S...
Chromium 内核 1458911 Bug 文件读取研究利用
Chromium 内核 1458911 Bug 文件读取研究利用介绍2023年6月29日 星期四 12:00 [email protected] 开发者向 Chromium 官方提交了该漏洞。该漏洞影响...
chrome文件任意读取-复现
0x00 影响版本2023年6月29日前的chromium的版本的应用0x01 简要说明 Libxslt是基于WebKit的浏览器(如Chrome、safari等)中使用的默认XSL库。Libx...
【已复现】Chromium libxslt XXE漏洞(CVE-2023-435)
Chromium 是一个开源的网络浏览器项目,由 Google 主导开发。Chromium 常被用作其他浏览器项目的基础,例如Chrome、 Opera、Brave 和 Microsoft Edge。...
windows远程加载Payload代码执行归纳总结
概览说明总体来讲高频使用的上线方法包括powershell、rundll32 、regsvr32、mshta,其他根据具体场景进行结合利用(参考免杀),像powershell、wmi都是综合的专题。类...
HtmlUnit <3.8.0 存在远程代码执行漏洞(CVE-2023-49093)
在分析 CVE-2023-26119 漏洞时,发现了修复措施存在不完善的情况。该漏洞是由于 HTMLUnit 在执行 XSL 转换时未对 XSLT 进行安全限制所致。通过查看源代码,发现针对 XSLT...
CVE-2023-46214 远程代码执行漏洞 (附EXP)
网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责...
CVE-2023-4357-Chrome XXE 文件读取
再见的意义是约定还是告别Is the meaning of goodbye a promise or a farewell?Chrome出了个新的XXE漏洞,看了官方的说明,Chrome使用的是Lib...