java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞。另外呢,组里多位大佬对反序列化漏洞都有颇深的研究,借此机会,努力学习,作为狼群中的哈士奇希望成功的继续伪装下去,不被识破,哈哈哈哈!!! 参考文档:感谢所有参考 ...
分类:
编程语言 时间:
2021-07-19 16:56:13
阅读次数:
0
信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护,能够直接访问。就web来说这种类型的问题往往会带来巨大的危害,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。下面介绍一些常见的web信息泄漏漏洞。 .git源码泄露 在使用命令 ...
分类:
Web程序 时间:
2021-05-24 09:03:08
阅读次数:
0
前台getshell https://cloud.tencent.com/developer/article/1690304 /index.php/api/Uploadify/preview data:image/php;base64,PD9waHAgcGhwaW5mbygpOw== 后台登陆后ge ...
分类:
其他好文 时间:
2021-03-17 14:10:34
阅读次数:
0
前提 拿到数据库权限,可以执行sql语句,或者进入到phpmyadmin界面,或pmd界面 phpstudy 对应phpmyadmin界面 phpmyadmin.php upupw 对应pmd界面 u.php 流程 使用show variables like '%log%'及show variabl ...
分类:
数据库 时间:
2021-02-20 12:22:00
阅读次数:
0
西湖挑战杯WEB赛后总结 一、easyjson 这是题目一打开的模样,像极了爱情,我感觉我好像又可以了。 wp1: xff设置ip 获取目录 filename=index.php可过check 关键代码转unicode,然后进行getshell(具体见博客GETshell大法) {"\u0063\u ...
分类:
其他好文 时间:
2021-01-01 11:58:51
阅读次数:
0
jboss 漏洞复现 服务探测 响应头的 X-Powered-By: 根据页面报错来判断 一些默认目录也可以判断一二 未授权访问Getshell 影响版本 Jboss 4.x 以下 漏洞复现 访问:http://192.168.64.129:8080/jmx-console/ 找到 jboss.de ...
分类:
Web程序 时间:
2020-11-23 12:25:54
阅读次数:
10
phpMyadmin是一个以PHP为基础的MySQL数据库管理工具,使网站管理员可通过Web接口管理数据库 。 phpMyadmin简介 phpMyadmin是一个以PHP为基础的MySQL数据库管理工具,使网站管理员可通过Web接口管理数据库 。 信息收集 此部分主要需要收集的是网站物理路径,否则... ...
分类:
Web程序 时间:
2020-09-09 19:05:24
阅读次数:
54
文件上传漏洞、解析漏洞总结 1.文件上传漏洞是什么 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意代码并执行从而控制服务器。显然这种漏洞是getshell最快最直接的 ...
分类:
Web程序 时间:
2020-07-24 09:52:21
阅读次数:
124
本文由“合天智汇”公众号首发 作者:h0x 一、前言 本篇文章为给朋友网站测试的过程,主要记录测试中的思路。期间用了差不多两个周末,期间断断续续,整篇没啥奇淫技巧,大佬略过。 PS:截至投稿前,已将漏洞详细报告提交朋友,并验证已经修复。 二、信息收集 通过朋友给的域名进行子域名爆破,得到如下: 查询 ...
分类:
其他好文 时间:
2020-07-13 15:42:50
阅读次数:
79
0x01 进入题目 有一个上传页面 那看来就是要上传shell,然后来查看flag了。看一下页面给的代码 if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ...
分类:
系统相关 时间:
2020-07-12 19:03:23
阅读次数:
98
