随笔分类 - 漏洞原理与利用

漏洞原理与利用

JSONP 劫持

发表于 2023-08-04 13:54阅读：57评论：0推荐：0

摘要：使用实际的代码和例子来演示一下 JSONP 劫持是如何实现的。阅读全文 »

posted @ 2023-08-04 13:54 Nestar 阅读(57) 评论(0) 推荐(0) 编辑

RF-14310: Arbitrary EL Evaluation | Arbitrary EL Evaluation in RichFaces | CVE-2013-2165 复现

发表于 2020-12-20 16:44阅读：775评论：0推荐：0

摘要：缘起今天给客户做扫描,扫描器扫到一个漏洞但这个漏洞是好久之前的,按照大佬的文章去复现,发现官方啥的都不提供下载了,而我自己java比较垃圾,就想着不复现了,直接copy个POC来用就行,但是遇到了一些问题都是自己菜导致的,算了过程都不说了,直接看结果吧首先redtimmy是发布了利用工具的h 阅读全文 »

posted @ 2020-12-20 16:44 Nestar 阅读(775) 评论(0) 推荐(0) 编辑

金蝶EAS密码暴力破解漏洞 | 今天遇到一个金蝶EAS系统, 发现它登录时密码进行编码了,这里解码一下

发表于 2020-12-20 16:44阅读：2028评论：0推荐：1

摘要：可惜我不知道适用版本,当然了你进行用户名枚举是一样的方法....hi✿(。◕ᴗ◕。)✿ 查看编码抓包发现仅仅是最简单的ascii编码而已, 这里小小的解码一下,气死我了,原来是八进制,气死我了字典处理代码 # python 3.9 # windows # 如果遇到什么gbk报错啥的,把你的字典用阅读全文 »

posted @ 2020-12-20 16:44 Nestar 阅读(2028) 评论(0) 推荐(1) 编辑