Trevain

摘要： 1.XMLDecoder 反序列化漏洞 cve-2017-10271/3506 影响版本10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1 , 12.2.1.2 受影响url ,在这个配置里面： C:\Oracle\Middleware\user_projects\doma 阅读全文

摘要： 目标和学习计划： 1.学会安装IDEA 2.学会用IDEA写java程序 3.学会把Java程序打包出来 4.学会怎么使用打包出来的java包 5.学会IDEA简单搭建spring 6.学会复现spring框架漏洞 一、下载安装 官网：https://www.jetbrains.com/idea/ 阅读全文

摘要： 1.文件解析漏洞 1.asp;.jpg 1.asp;.zip >解析成asp 2.目录解析漏洞 *.asp/目录下的所有文件解析成asp 3.iis6 文件上传漏洞 条件：1.开启webDAV 2.开启来宾写入修改权限 扫描是否存在漏洞： 利用上传脚本iiswrite.exe上传txt再mov 修改 阅读全文

摘要： 1.用goby扫描发现目标主机开发8081端口 2.访问 3.上网搜索azkaban 默认密码 (常见的管理员用户和密码) root root admin admin azkaban azkaban …… 果不其然 azkaban azkaban登陆上去了 4.接着打算找上传点或者命令执行点 百度找 阅读全文

摘要： fofa： app="网康科技-下一代防火墙" poc： POST /directdata/direct/router HTTP/1.1 Host: 119.62.56.24:444 Connection: close Cache-Control: max-age=0 sec-ch-ua: "Goo 阅读全文

摘要： fofa: body="和信下一代云桌面" 构造发送数据包： POST /Upload/upload_file.php?l=test HTTP/1.1 Host:ｘ．ｘ．ｘ．ｘ User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe 阅读全文

摘要： 利用条件 关闭浏览器（chrome、edge等）沙盒 环境： win7/win10 chrome 89.0.4389.82(x64) 内存好像要够大：8/16g poc:https://github.com/r4j0x00/exploits/tree/master/chrome-exploit po 阅读全文

摘要： fofa: title="MessageSolution Enterprise Email Archiving (EEA)" 访问后： exp: https://ip/authenticationserverservlet/ 直接登陆就可以了 阅读全文

摘要： 这个程序的源代码为调用一个加法函数，打印main用来定位主函数入口，目的是分析一个函数在调用的过程中汇编中的代码是怎么样的 打开反汇编，寻找到主函数； call 调用一个函数的过程是：push eip 先保存当前的eip指令指针，然后jum到函数的地址 下面这里是按F7进入到函数里面 一个函数的调用 阅读全文

摘要： exe源码： #include <stdio.h> int main() { printf("test_ok!"); return 0; } 1.点击文件打开需要逆向的exe文件 2.寻址到main入口：ctrl+G 输入main跟随定位到main入口 3.这里的意思是把一个字符串的地址中的字符串p 阅读全文