HSQLDB 安全测试指南 HSQLDB(HyperSQL DataBase) 是一个完全由Java编写的小型嵌入式数据库，因为它可以以文件或者内存的形式运行，不需要单独另起服务器，HSQLD... 2021-02-04 18:28:01 | 阅读: 201 | 收藏 | xz.aliyun.com hsqldb 数据 数据库 注入 信息

ysoserial利用链分析(一) CommonsCollections1最近开始学习java的利用链，也是自己分析的结果，新手如果有错请指正勿喷。这里对ysoserial的commons1的利用进... 2021-02-04 18:27:44 | 阅读: 179 | 收藏 | xz.aliyun.com entryset bytecodes

一次假想的LNK钓鱼攻击 演练流程目标及规定为了获取A集团的资料信息，但目标web网站防护很好，现在收集了A集团一些员工的邮箱，只能通过钓鱼进行攻击。工具由于这是一次隐蔽的行动，所有... 2021-02-04 18:26:21 | 阅读: 221 | 收藏 | xz.aliyun.com 攻击 加密 开源 4444 reversetcp

【漏洞预警】SolarWinds多款产品高危漏洞（CVE-2021-25274等） 2021年2月4日，阿里云应急响应中心监测到国外安全研究团队披露SolarWinds多款产品存在高危漏洞。漏洞描述SolarWinds Inc. 是一家美国公司，为企业提软件以帮助管理其网络，系统和信... 2021-02-04 11:04:37 | 阅读: 67 | 收藏 | xz.aliyun.com 漏洞 orion 安全 阿里 攻击

记一次Java Servlet实战审计 某次渗透中，遇到个jsp的站，弱密码进到后台以后，却发现功能很少，并不好搞，简单排查后并无突破，然而老大给的要求是尽快搞到shell。。。一番梳理后，我的想法是... 2021-02-03 21:17:42 | 阅读: 246 | 收藏 | xz.aliyun.com 注入 usebean sqlmap javabean

一次打点测试 一次真实渗透测试中 代码审计getshell用dirsearch进行扫描查看目录：发现有git源码泄露，还有一些敏感目录/.login/phpmyad... 2021-02-03 21:16:00 | 阅读: 245 | 收藏 | xz.aliyun.com 数据 登陆点 数据库 php 审计

从题目中学习JS原型污染攻击 前言：做题时遇到一个JS原型链污染的题目，由于之前没有学过，就详细的学习和了解一下。基础知识0x00:JS创建对象的方法在了解原型链之前，先了解一下JS创建对... 2021-02-03 21:15:00 | 阅读: 196 | 收藏 | xz.aliyun.com lemon shy son firepower

CVE_2020_11060 EXP优化 起因： 在渗透时发现glpi站点，复现cve的时候发现网上的POC并不好用，经过翻阅各种资料和调试之后，成功优化出更简单的POC。参考文章:https://xz... 2021-02-02 21:07:15 | 阅读: 243 | 收藏 | xz.aliyun.com 数据 备份 php glpi fichier

thinkphp5.0 SQL注入详细分析 大多数文章都是分析了几个关键点，没有去详细的分析一下源码，最近，逐行跟了一下thinkphp5.0.15的SQL注入漏洞，希望对分析thinkphp框架SQL注入的... 2021-02-02 21:06:46 | 阅读: 218 | 收藏 | xz.aliyun.com 数据 tablename username strpos 信息

realworldctf old system复盘（jdk1.4 getter jndi gadget） [TOC]0x00 题目分析本题考查Gadget链的挖掘。题目中给的lib库中存在CommonsBeanutils这条链，根据ysoserial中的代码可知这条链... 2021-02-02 21:05:49 | 阅读: 191 | 收藏 | xz.aliyun.com jndi treemap hm var1 tm1

记一次某APK的恶意WIFI攻击 用户接入恶意WIFI即打开某APP，泄露用户cookie，攻击者可以通过token获取用户手机号、收藏、收货地址等漏洞详情查看manifest.xml有如下dee... 2021-02-02 21:04:30 | 阅读: 222 | 收藏 | xz.aliyun.com v9 zdmkeyutil arg6 setcookie synccookie

恶意程序初探 Test1 原始代码代码#include <stdafx.h>#include <windows.h>using namespace std;int m... 2021-02-01 21:05:01 | 阅读: 159 | 收藏 | xz.aliyun.com xa x8b x3b x2e xf5

危害被低估的Netgear认证前漏洞CVE-2019-20760分析 概述Netgear R9000设备2019年爆出认证绕过漏洞CVE-2019-20760，题目之所以说这个漏洞远被低估，主要以下两个原因：实际漏洞危害较大，公开... 2021-02-01 20:50:02 | 阅读: 266 | 收藏 | xz.aliyun.com 漏洞 uhttpd r9000 信息 固件

【漏洞预警】Apache Shiro < 1.7.1 权限绕过漏洞（CVE-2020-17523） 漏洞描述Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。2021年2月1日，Apache Shiro发布1.7.1版本，修复了 Apache Shiro 身份验证绕过漏洞 (CV... 2021-02-01 16:34:56 | 阅读: 235 | 收藏 | xz.aliyun.com shiro 漏洞 17523 攻击 绕过

JAVA反序列化-ysoserial-URLDNS原理分析 java反序列化工具，利用它通过指定利用链，获取恶意代码序列化之后的内容，将内容发送给目标，目标对内容发序列化进而触发恶意代码。URLDNS是ysoseria... 2021-01-29 10:52:30 | 阅读: 188 | 收藏 | xz.aliyun.com hashcode writeobject 数据 slotdesc

IBOS酷办公后台命令执行GetShell分析 本人是掌控安全第十期菜鸟一枚，师从讲师聂风，下面带来的是关于命令执行的漏洞分享。攻击者若通过社工，弱口令，钓鱼等方式获取后台的登录权限，进入后台利用通用设置中数... 2021-01-29 10:51:38 | 阅读: 236 | 收藏 | xz.aliyun.com 备份 dumpfile 数据 php

记一次新手入门级别的代码审计 0x00写在前面下载地址：http://www.igoldway.com/金微手机商城 V0.3.7版本本人简单看法，先测试，再看代码，主要测试功能点交互点... 2021-01-29 10:50:47 | 阅读: 237 | 收藏 | xz.aliyun.com php 注入 burp payload 绕过

记一次tp5.0.24 记录一下tp5.0.24,感觉此站应该是阉割版，按理来说tp5.0.24应该没有rce的。网站是非法站点，不用担心未授权。还是先报错一手，发现是5.0.24的，... 2021-01-27 19:00:57 | 阅读: 1544 | 收藏 | xz.aliyun.com php 数据 tp5 axgg 注入

Java安全之RMI反序列化 RMI是远程方法调用的简称，能够帮助我们查找并执行远程对象的方法。通俗地说，远程调用就象将一个class放在A机器上，然后在B机器中调用这个class的方法。RM... 2021-01-27 18:59:53 | 阅读: 214 | 收藏 | xz.aliyun.com var2 远程 remote proxy

【漏洞预警】IBM WebSphere XXE 漏洞 (CVE-2020-4949) 近日，IBM官方发布安全更新，修复了由蚂蚁安全非攻实验室发现的CVE-2020-4949 IBM WebSphere XXE 漏洞。漏洞描述IBM WebSphere... 2021-01-27 16:11:14 | 阅读: 305 | 收藏 | xz.aliyun.com websphere 安全 漏洞 阿里 攻击