摘要:
最近有点闲下来了,不找点事干比较难受,打算找点漏洞分析一下,于是就打算看看TP的一些漏洞,ThinkPHP6.0.13是TP的最新版,八月份有师傅提交了一个issue指出TP存在反序列化问题,网上也有些师傅分析了一波,不过断点下的比较多,而且部分方法没有阐明其用途,所以我也尝试详细的分析一波。 阅读全文
posted @ 2022-10-10 08:53
蚁景网安实验室
阅读(159)
评论(0)
推荐(0)
摘要:
MCMS 是 J2EE 系统,完整开源的Java CMS,基于SpringBoot 2架构,前端基于vue、element ui。为开发者提供上百套免费模板,同时提供适用的插件,一套简单好用的开源系统、一整套优质的开源生态内容体系。 阅读全文
posted @ 2022-09-30 17:48
蚁景网安实验室
阅读(213)
评论(0)
推荐(0)
摘要:
泛微e-office是一款标准化的协同OA办公软件,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。由于泛微 E-Office 未能正确处理上传模块中输入的数据,未授权的攻击者可以构造恶意数据包发送给服务器,实现任意文件上传,并且获得服务器的webshell,成功利用该漏洞可以获取服务器控制权。 阅读全文
posted @ 2022-09-28 11:01
蚁景网安实验室
阅读(496)
评论(0)
推荐(0)
摘要:
因为想要写一个socks的流量算法去绕过安全设备,所以这里对nps的流量特征总结一下,方便自己后期的魔改。 阅读全文
posted @ 2022-09-19 17:42
蚁景网安实验室
阅读(401)
评论(0)
推荐(0)
摘要:
反射是大多数语言里都必不不可少的组成部分,对象可以通过反射获取他的类,类可以通过反射拿到所有方法(包括私有),拿到的方法可以调用,总之通过“反射”,我们可以将Java这种静态语言附加上动态特性。 阅读全文
posted @ 2022-09-15 14:28
蚁景网安实验室
阅读(89)
评论(0)
推荐(0)
摘要:
Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。序列化分为两大部分:序列化和反序列化。序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。 阅读全文
posted @ 2022-09-14 16:50
蚁景网安实验室
阅读(114)
评论(0)
推荐(0)
摘要:
韩国财阀三星周五表示,三星经历了一次网络安全事件,导致一些客户信息被未经授权的访问,这是今年第二次报告此类违规事件。 阅读全文
posted @ 2022-09-09 12:29
蚁景网安实验室
阅读(162)
评论(0)
推荐(0)
摘要:
一般我们想要寻找一些高危的漏洞,就是需要寻找一些未授权漏洞,就是在未登录状态下也可以执行授权后的相关功能,编写了一个简单的脚本,先判断哪一些网页是可以在未授权的情况下进行访问到,然后再做进一步的分析。 阅读全文
posted @ 2022-09-01 17:30
蚁景网安实验室
阅读(262)
评论(0)
推荐(0)
摘要:
cve-2017-17562远程命令执行漏洞影响Goahead 2.5.0到Goahead 3.6.5之间的版本。在cgiHandler函数中,将用户的HTTP请求参数作为环境变量,通过诸如LD_PRELOAD即可劫持进程的动态链接库,实现远程代码执行。 阅读全文
posted @ 2022-08-26 17:10
蚁景网安实验室
阅读(229)
评论(0)
推荐(0)
摘要:
有一个问题困扰了很久很久,翻来覆去无法入眠,那就是OAuth2.0有什么安全问题啊?OAuth2.0是一种常用的授权框架,它使网站和 Web 应用程序能够请求对另一个应用程序上的用户帐户进行有限访问,在全世界都有广泛运用。 阅读全文
posted @ 2022-08-22 09:49
蚁景网安实验室
阅读(305)
评论(0)
推荐(0)
浙公网安备 33010602011771号