摘要:
VMware Carbon Black App Control漏洞分析 碎碎念 “像是发起了一场冲锋,确没有找到敌人,无疾而终” 漏洞分析 关于VMware Carbon Black App Control详细在这不赘述,详细可到【经典回顾系列】CVE-2021-21988 VMware Carbo 阅读全文
摘要:
Nancy 反序列化漏洞分析 前言 找一个有意思的NET反序列化案例来看看,水篇文 漏洞分析 Github下载https://github.com/NancyFx/Nancy.Demo.Samples 运行启动 部分工具类在dll中,封装成dll进行引用 漏洞代码位于 Nancy.Security. 阅读全文
摘要:
SolarWinds PM反序列化漏洞分析 前言 这段时间一直对Net的反序列化的一些漏洞利用比较有兴趣,简单跟跟漏洞 XmlSerializer 反序列化 在此之前先来熟悉一下XmlSerializer的反序列化漏洞 反序列过程:将xml文件转换为对象是通过创建一个新对象的方式调用XmlSeria 阅读全文
摘要:
c# 调用Windows API 前言 看点代码安抚浮躁的心 对应表 | API数据类型 | Windows API时的数据类型 | | | | | BOOL | System.Int32 | | BOOLEAN | System.Int32 | | BYTE | System.UInt16 | | 阅读全文
摘要:
Windows自启动技术-注册表 注册表自启动 Windows的Run和RunOnce注册表项可以让用户登陆系统时自动启动一些程序。 其中涉及到的注册表项如下: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY 阅读全文
摘要:
Windows自启动技术快速启动目录 前言 最近比较忙,整理一点琐碎的东西 自启动技术 在windows 系统中,存在很多可以实现开启自启动的地方。windows系统下有自带的快速启动文件夹。只要程序放到这个快速启动目录下,系统在启动的时候会自动加载并且运行这个程序,实现开机启动。 快速启动的目录不 阅读全文
摘要:
Java安全之Shiro权限绕过 前言 简单总结一些Shiro的权限绕过。 Shiro权限绕过漏洞 CVE编号 漏洞说明 漏洞版本 CVE-2016-6802 Context Path 路径标准化导致绕过 shrio <1.3.2 CVE-2020-1957 Spring 与 Shiro 对于 "/ 阅读全文
摘要:
Java安全之velocity 模板注入 前言 水篇文,简单记录整理一些杂乱无章的东西。 velocity 语法 #表示符 "#"用来标识Velocity的脚本语句,包括#set、#if 、#else、#end、#foreach、#end、#iinclude、#parse、#macro等; 如: # 阅读全文
摘要:
Java安全之freemarker 模板注入 freemarker 简述 FreeMarker 是一款 模板引擎: 即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。 它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所开发 阅读全文
摘要:
Java安全之Thymeleaf 模板注入分析 前言 沉下心学习点东西 Spring mvc解析流程 Spring配置DispatcherServlet进行前端控制器拦截请求,流程来到 org.springframework.web.servlet.DispatcherServlet#doServi 阅读全文