摘要: 
将服务器端 XSS 注入到动态生成的 PDF 中窃取数据 阅读全文
将服务器端 XSS 注入到动态生成的 PDF 中窃取数据 阅读全文
摘要: 
Mysql JDBC 中包含一个危险的扩展参数: “autoDeserialize”。这个参数配置为 true 时,JDBC 客户端将会自动反序列化服务端返回的数据,造成RCE漏洞。 阅读全文
Mysql JDBC 中包含一个危险的扩展参数: “autoDeserialize”。这个参数配置为 true 时,JDBC 客户端将会自动反序列化服务端返回的数据,造成RCE漏洞。 阅读全文
摘要: 
Apache Struts2 是一个开源的 Java Web 应用程序开发框架,旨在帮助开发人员构建灵活、可维护和可扩展的企业级Web应用程序。经过分析和研判,该漏洞利用难度低,攻击者可以通过污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码。 阅读全文
Apache Struts2 是一个开源的 Java Web 应用程序开发框架,旨在帮助开发人员构建灵活、可维护和可扩展的企业级Web应用程序。经过分析和研判,该漏洞利用难度低,攻击者可以通过污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码。 阅读全文
摘要: 
OfficeWeb365 /Pic/Indexs接口处存在任意文件读取漏洞,攻击者可通过独特的加密方式对payload进行加密,读取任意文件,获取服务器敏感信息,使系统处于极不安全的状态。 阅读全文
OfficeWeb365 /Pic/Indexs接口处存在任意文件读取漏洞,攻击者可通过独特的加密方式对payload进行加密,读取任意文件,获取服务器敏感信息,使系统处于极不安全的状态。 阅读全文
摘要: 
记录一次通过简单社工获取信息后进入后台的经过。打开思路,利用我们所有能够捕获的信息并串联起来。 阅读全文
记录一次通过简单社工获取信息后进入后台的经过。打开思路,利用我们所有能够捕获的信息并串联起来。 阅读全文
摘要: 
利用python加载shellcode,生成木马过360、火绒等杀毒软件 阅读全文
利用python加载shellcode,生成木马过360、火绒等杀毒软件 阅读全文
摘要: 
插一下U盘黑一台电脑,插了我的U盘你可就是我的脑了,(*^▽^*) 阅读全文
插一下U盘黑一台电脑,插了我的U盘你可就是我的脑了,(*^▽^*) 阅读全文
摘要: 
通过外网撕开缺口,绕过360火绒杀软进内网测试。 阅读全文
通过外网撕开缺口,绕过360火绒杀软进内网测试。 阅读全文
摘要: 
在了解票据攻击的过程中,看见了一篇文章使用Rubeus进行钻石票据攻击。但是没有原理,于是抱着学习的心态在Google上寻找文章发现除了钻石票据还有蓝宝石票据。 阅读全文
在了解票据攻击的过程中,看见了一篇文章使用Rubeus进行钻石票据攻击。但是没有原理,于是抱着学习的心态在Google上寻找文章发现除了钻石票据还有蓝宝石票据。 阅读全文
摘要: 
js接口-未授权访问-密码爆破 阅读全文
js接口-未授权访问-密码爆破 阅读全文