摘要: 漏洞介绍 近日,Oracle WebLogic Server 远程代码执行漏洞 (CVE-2020-14882)POC 被公开,未经身份验证的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接管 WebLog 阅读全文
posted @ 2020-11-12 09:16 只言 阅读(9404) 评论(0) 推荐(0) 编辑
摘要: (1) 添加参数 user/info user/info?id=123 (2) hpp 参数污染 user/info?id=1 user/info?id=2&id=1 user/info?id=2,2&id=1,1 (3) 添加.json(如果它是用 ruby 构建的) user/id/1 user 阅读全文
posted @ 2020-11-12 09:07 只言 阅读(921) 评论(0) 推荐(1) 编辑
摘要: PhpMyAdmin漏洞利用汇总 phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中 阅读全文
posted @ 2020-10-14 15:41 只言 阅读(24380) 评论(0) 推荐(0) 编辑
摘要: 内网渗透之初识域渗透 0x01 初识域环境 一、什么是域 将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,在域中,至少有一台域控制器,域控制器中保存着整个域的用户帐号和安全数据库。 二、域的优点(为什么使用域) 那么域网络结构有什 阅读全文
posted @ 2020-09-29 18:57 只言 阅读(1683) 评论(0) 推荐(0) 编辑
摘要: ATK&CK红队评估实战靶场(一)的搭建和模拟攻击过程全过程 0x01 前言 本靶机环境是红日团队开源的一个红队实战测试环境,靶机下载地址如下: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 通过模拟真实环境搭建的漏洞靶场,完全模拟ATK&CK攻 阅读全文
posted @ 2020-09-28 10:18 只言 阅读(14163) 评论(1) 推荐(2) 编辑
摘要: 通用软件测评之软件产品的信息安全性 软件测评标准概述 计算机软件是计算机应用的核心,其质量的好坏关系到计算机应用系统的成败,软件测评是提高软件质量的一个重要手段,目前我国软件开发、软件测评主要依照标准是《GBT 25000.51-2016系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第5 阅读全文
posted @ 2020-09-28 10:00 只言 阅读(3523) 评论(0) 推荐(0) 编辑
摘要: 软件测试项目实操指南与过程文档 软件测试分为如下几个阶段 一、测试需求分析阶段 测试需求分析阶段主要工作是获得测试项目的测试需求(测试规格)。 输出产物:《可测试性需求说明书》和《测试规格》 在实际过程中针对软件的安全性测评项目,甲方通常会提供安全功能测试需求,这就需要我们通过需求分析把甲方的安全测 阅读全文
posted @ 2020-09-28 09:56 只言 阅读(1587) 评论(0) 推荐(0) 编辑
摘要: 通达OA11.6任意文件删除+文件上传组合GetShell 漏洞介绍 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。 通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程 阅读全文
posted @ 2020-08-23 18:14 只言 阅读(1493) 评论(0) 推荐(0) 编辑
摘要: CVE-2020-14645 Weblogic远程代码执行漏洞复现 漏洞介绍 今日,Oracle官方发布WebLogic安全更新,其中修复了一个CVSS评分为9.8的严重漏洞(CVE-2020-14645),该漏洞通过T3协议进行利用,攻击者可以实现远程代码执行,进而控制服务器。由于漏洞利用复杂度低 阅读全文
posted @ 2020-08-23 18:12 只言 阅读(4331) 评论(0) 推荐(0) 编辑
摘要: Vulfocus 复现weblogic_CVE-2020-2883漏洞 漏洞介绍 在Oracle官方发布的2020年4月关键补丁更新公告CPU(Critical Patch Update)中,两个针对 WebLogic Server ,CVSS 3.0评分为 9.8的严重漏洞(CVE-2020-28 阅读全文
posted @ 2020-08-23 18:09 只言 阅读(4757) 评论(0) 推荐(0) 编辑