实验声明:本实验教程仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险! 命令执行漏洞利用与防护 【实验目的】 掌握命令执行漏洞产生的原因和利用方法,感受其带来的危害,了解相应的防范策略。 【实验环境】 **目标靶机:**DVWA2008 (用户名: 360college 密码: 360C ...
分类:
Web程序 时间:
2020-11-21 12:32:00
阅读次数:
21
实验声明:本实验教程仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险! 业务逻辑漏洞利用与防护 【实验目的】 phpok是一款PHP开发的开源企业网站系统。而支付漏洞一直以来就是是高风险,对企业来说危害很大,对用户来说同样危害也大。本实验通过一个典型的利用支付漏洞进行免单购物的过程,使大 ...
分类:
Web程序 时间:
2020-11-21 12:31:16
阅读次数:
19
https://hackernoon.com/python-sandbox-escape-via-a-memory-corruption-bug-19dde4d5fea5 像numpy这种python模块,里面很多代码都是c写的,可能存在内存漏洞,而且很多是没怎么被注意的 这个洞是由于把有符号数没有 ...
分类:
数据库 时间:
2020-11-20 11:36:04
阅读次数:
14
Java安全之JNDI注入 文章首发:Java安全之JNDI注入 0x00 前言 续上篇文内容,接着来学习JNDI注入相关知识。JNDI注入是Fastjson反序列化漏洞中的攻击手法之一。 0x01 JNDI 概述 JNDI(Java Naming and Directory Interface,J ...
分类:
编程语言 时间:
2020-11-17 12:20:36
阅读次数:
10
一、环境 靶机:centos7虚拟机 ip:192.168.8.11 物理机:windows10 burp suite 二、原理 SSRF原理: 是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。 攻击者无权访问 ...
分类:
Web程序 时间:
2020-11-16 14:06:05
阅读次数:
22
2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上, ...
分类:
编程语言 时间:
2020-11-13 12:51:08
阅读次数:
13
上传的时候修改Content-Type为image/jpeg等程序指定的类型即可。 修改为: 使用蚁剑连接测试 ...
分类:
Web程序 时间:
2020-11-11 16:31:43
阅读次数:
14
pass-03 只禁止了部分扩展名,还有.php5等扩展名可以解析为PHP。 上传.php5即可。 类似的扩展名有:php2,php3、php4、php5、phtml、等 ...
分类:
Web程序 时间:
2020-11-11 16:31:19
阅读次数:
15
前段时间为了方便探测fastjson写的一个小插件,在抓包测试的同时第一时间可进行探测是否存在fastjson漏洞 免责申明 第 一 条 使用者因为违反本声明的规定而触犯中华人民共和国法律的,一切后果自己负担,脚本作者不承担任何责任。 第 二 条 凡以任何方式直接、间接使用作者资料者,视为自愿接受声 ...
分类:
Web程序 时间:
2020-11-08 17:59:45
阅读次数:
48
转自:https://blog.lfoder.cn/2020/06/04/ 漏洞扫描-AWVS-Nessus-Docker版/ Docker源长期及时更新,感谢雷石安全实验室。 在docker仓库已经打包好2个扫描器,分别是awvs13和nessus,供广大兄弟们使用。 docker命令 # 拉取镜 ...
分类:
其他好文 时间:
2020-11-08 17:40:59
阅读次数:
44
