从CVE-2022-22947到Spring WebFlux内存马与哥斯拉 漏洞分析许多师傅都写了非常详尽的文章，因此这部分仅分析记录重点内容和有一些有趣的东西。官方公告：https://tanzu.vmware.com/security... 2022-5-16 11:15:1 | 阅读: 409 | 收藏 | xz.aliyun.com 注入

定时任务功能点绕过黑白名单执行任务sql语句 若依后台管理系统存在多种架构体系。如下这里使用RuoYi-fast v4.7.3(前后端不分离)来分析定时任务功能点处如何绕过黑白名单，执行任意的sql语句... 2022-5-16 11:14:17 | 阅读: 50 | 收藏 | xz.aliyun.com quartz 容器 ruoyi 数据 artifactid

记一次绕过waf的任意文件上传 前言前几天对自己学校进行的一次渗透测试，由于深信服过于变态，而且拦截会直接封ip，整个过程有点曲折期间进行了后缀名绕过，jspx命名空间绕过、获取网站根目录、ba... 2022-5-16 11:13:25 | 阅读: 31 | 收藏 | xz.aliyun.com 绕过 scriptlet fileout 后缀名 拦截

从一次简单的开发引申出的一些安全问题 这周啥也没干，就去看了看开发，为以后的代码审计铺垫铺垫。毕竟开发过，审计代码的时候才不会憨憨傻傻的。之前审计过两个cms，当时真的是，审的人都快麻了，害。果然还是要... 2022-5-13 00:3:51 | 阅读: 23 | 收藏 | xz.aliyun.com php username 注入 newpath rst

laravel5.1反序列化-代码审计学习 前言 初次编写，请师傅们多多照顾，如有错误，请批评指正0x00 准备使用composer拉一个laravel5.1的环境composer create-... 2022-5-13 00:1:47 | 阅读: 36 | 收藏 | xz.aliyun.com illuminate 控制 database

“快看”cms v1.32代码审计 继初次选择xhcms审计审计之后，对代码审计来了兴趣，一处处分析，经历失败，重来，最后找到漏洞点的过程确实很不错。因此，在喜欢xhcms审计结束后就马不停蹄找了个小众... 2022-5-12 23:58:40 | 阅读: 29 | 收藏 | xz.aliyun.com php 注入 xtcms 漏洞 addslashes

Ethernaut题解2022版（下） Ethernaut题解2022版（上）链接// SPDX-License-Identifier: MITpragma solidity ^0.6.0;im... 2022-5-12 23:54:9 | 阅读: 43 | 收藏 | xz.aliyun.com token1 token2 erc20 solidity

K8S云原生环境渗透学习 前言​ Kubernetes，简称k8s，是当前主流的容器调度平台，被称为云原生时代的操作系统。在实际项目也经常发现厂商部署了使用k8s进行管理的云原... 2022-5-11 23:41:38 | 阅读: 90 | 收藏 | xz.aliyun.com kubernetes kubectl 端口 集群 容器

go下的插件化实现 插件化可以使一个工程的功能扩展更简单；代码的解耦，更易用维护，我们在很多工具中都能看到这个结构。同时插件化，也使得工程可以有更多人一起投入开发，不断去扩展更新工程的... 2022-5-11 23:39:2 | 阅读: 33 | 收藏 | xz.aliyun.com 脚本 yaegi 漏洞 intp 解释器

浅谈XS-Leaks之Timeless timing attck read file error: read notes: is a directory... 2022-5-10 23:35:8 | 阅读: 8 | 收藏 | xz.aliyun.com 攻击 网络 timing timeless 数据

xhcms审计学习 第一次审计，抱着学习的态度，从一个初学者的角度去尝试摸石头过河，踩坑，跳坑，并做个记录吧：[toc]一、环境安装使用phpstudy 5.4.45+mysql5... 2022-5-10 23:34:19 | 阅读: 43 | 收藏 | xz.aliyun.com php xs resul 0x7e addslashes

关于Windows RPC挖掘的那些事 read file error: open notes: too many open files... 2022-5-10 23:33:0 | 阅读: 18 | 收藏 | xz.aliyun.com windows rpcview 远程 idl petitpotam

漏洞分析 - gogs RCE (CVE-2022-0415) 漏洞信息gogs是一个golang开发的git web server项目。CVE-2022-0415：在gogs/gogs 中上传仓库文件时的远程命令执行。Re... 2022-5-9 16:21:11 | 阅读: 23 | 收藏 | xz.aliyun.com macaron inject gogs gopkg github

使用 MITM6 通过 DNS 中继 Kerberos 身份验证 2021 年 10 月，James Forshaw（@tiraniddo）在 Project Zero 上发表了一篇名为 《Using Kerberos for Au... 2022-5-9 16:20:30 | 阅读: 9 | 收藏 | xz.aliyun.com 攻击 网络 攻击者 加密

一次另类的mssql渗透之路 0x00 前言事情的起因是一位老哥叫我帮他打一个站点，于是就有了这篇文章0x01 总体思路发现mssql注入->上cs->失败通过mssql注入->拿数据->... 2022-5-9 16:19:52 | 阅读: 7 | 收藏 | xz.aliyun.com cmdshell 数据 waitfor username 注入

JBoss EAP/AS <= 6.* RCE及rpc回显 看到推上发了jboss的0day rce，分析一下。这个洞是在国外Alligator Conference 2019会议上的一个议题，ppt在这里 https:... 2022-5-7 00:1:33 | 阅读: 10 | 收藏 | xz.aliyun.com jboss remoting client groupid

记录一次挖矿木马的分析与处置过程 SystemedMiner挖矿木马分析处置登陆到受害主机去查看一下，查看下进程CPU使用率正常，并无挖矿迹象（要注意的是区分系统进程和木马进程，因为很多木马的进... 2022-5-6 23:55:0 | 阅读: 15 | 收藏 | xz.aliyun.com 脚本 doh 木马 tor2web

FGSM：从论文到实战 论文信息Explaining and Harnessing Adversarial Examples.论文简介早期对对抗样本产生的原因的猜测集中于神经网络的非... 2022-5-6 23:54:31 | 阅读: 9 | 收藏 | xz.aliyun.com adv nn torch np 对抗

记首次HW|某地级市攻防演练红队渗透总结 申明：文章仅供技术交流，请自觉遵守网络安全相关法律法规，切勿利用文章内的相关技术从事非法活动，如因此产生的一切不良后果与文章作者无关前言 上周参加了某地级市为... 2022-5-5 21:53:42 | 阅读: 16 | 收藏 | xz.aliyun.com 攻击 数据 数据库 hw 渗透

spring rce 从cve-2010-1622到CVE-2022-22965 篇二 前言前一篇文章介绍了cve-2010-1622漏洞的原理，本篇文章在其基础上介绍下CVE-2022-22965漏洞原理。CVE-2022-22965 漏洞影响版本... 2022-5-5 21:50:57 | 阅读: 8 | 收藏 | xz.aliyun.com 漏洞 classloader catalina 22965