y4tacker | CN-SEC 中文网

安全漏洞

Apache Struts2 文件上传逻辑绕过(CVE-2024-53677)(S2-067)

前言Apache官方公告又更新了一个Struts2的漏洞，考虑到很久没有发无密码的博客了，再加上漏洞的影响并不严重，因此公开分享利用的思路。分析影响版本Struts 2.0.0 - Struts 2....

12月20日19 views评论

安全博客

CrushFTP后利用提权分析(CVE-2024-4040)写在前面这个漏洞的利用最终还是被曝光了，这里也不做重复的分析，具体可以点击访问CVE-2024-4040了解漏洞的详情，在这里作者在分析利用...

10月29日17 views评论

代码审计

浅谈Shiro550受Tomcat Header长度限制影响突破0x00 写在前面写个shiro相关的东西，还是秉着写出来才能学的更多的理念，当然个人还是不太喜欢贴上整串代码，只是分享思路心得，在很早...

10月29日15 views评论

安全博客

浅谈Fastjson绕waf写在前面关键时期换个口味，虽然是炒陈饭，但个人认为有干货的慢慢看，从最简单到一些个人认为比较骚的，本人垃圾代码狗，没有实战经验，因而更多是从fastjson的词法解析部...

10月29日22 views评论

安全博客

Java文件上传大杀器-绕waf(针对commons-fileupload组件)PS：高版本才有1.3以上来个中二的标题，哈哈哈，灵感来源于昨晚赛博群有个师傅@我是killer发了篇新文章，在那篇文章...

10月29日8 views评论

安全博客

XStream反序列化XStream简介XStream是一个简单的基于Java库，Java对象序列化到XML，反之亦然(即：可以轻易的将Java对象和xml文档相互转换)。反序列化基本原理XStrea...

10月29日10 views评论