Weblogic反序列化漏洞(CVE-2018-2628)
Weblogic反序列化漏洞(CVE-2018-2628)
UnserializeOne
_set() 用于将数据写入不可访问的属性 给一个未定义的属性赋值时,此方法会被触发,传递的参数是被设置的属性名和值 // 不存在赋值。__set_state(),调用var_export()导出类时,此静态方法会被调用。__isset(),当对不可访问属性调用isset()或empty()时调用。
HTB打靶日记:Agile
HTB打靶日记:Agile
SQL注入_insert&delete&update&selete
SQL注入_insert&delete&update&selete
JavaWeb代码审计实战之若依管理系统,细节满满的万字文章,非常值得好好进阶学习的一个系统哦!!!
今天为大家带来的是一篇实战代码审计若依管理系统的一篇文章,若依管理系统也是现在比较常用的一个系统了。非常有必要好好学习研究一下。
MaxSite CMS 代码问题漏洞(CVE-2022-25411)
Maxsite CMS存在文件上传漏洞,攻击者可利用该漏洞通过精心制作的PHP文件执行任意代码。
网络安全实验室-基本关1-12
网络安全实验室-基本关1-12
Javaweb安全——Fastjson反序列化利用
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。
【安全学习】记一次内网环境渗透
通过上述过程,我们对比如GPP,约束委派,SQLServer提权有了新的认知或者理解,网络安全的学习离不开实际操作,想要搞明白漏洞更是要实际去复现学习。
关于前端安全性那些事
1、XSS攻击 2、 Iframe 3、跨站请求伪造(Cross-site request forgery) 4、ClickJacking(点击劫持)5、HTTPS重定向问题 6、CDN劫持
网络安全实验——安全通信软件safechat的设计
SAFECHAT
sqli-labs靶场安装
PhpStudy国内12年老牌公益软件,集安全,高效,功能与一体,已获得全球用户认可安装,运维也高效。支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。Sqlilabs是一个学习sql注入的平台,GET和POST场景包括了许多基本的实验内容,例如:基于
[计算机网络安全实验] TCP协议漏洞利用
用户机IP: 172.17.0.2目标机(服务器)IP: 172.17.0.3攻击机IP: 172.17.0.1。
无数字字母rce总结(取反、异或、自增、临时文件)
无数字字母rce的知识点、poc、exp(取反、异或、自增、临时文件)
实战敏感信息泄露高危漏洞挖掘利用
信息泄露就是某网站某公司对敏感数据没有安全的保护,导致泄露敏感被攻击者利用,例如泄露:账号,密码,管理员,身份证,数据库,服务器,敏感路径等等这次带领大家了解了信息泄露挖掘和实际利用,有喜欢的可以点个关注!我会持续更新质量更好的文,后面会持续更新在实战过程中挖掘漏洞技巧的专栏**声明:**本作者所分
渗透测试报告的编写
渗透测试只是一个小的环节,之所以会有渗透测试是因为等保,渗透测试只是等保的一部分,渗透测试是实现等保测试的一个手段。渗透测试时长最少要两到三天,一般是分好几次测试,处置建议最好是根据漏洞的相关情况给出。渗透测试:以黑客的角度,模拟攻击,处于保护目的,更全面的发现测试对象的安全隐患。可以采取哪些攻击手
2023年中职网络安全——SQL注入测试(PL)解析
2023年中职网络安全——SQL注入测试(PL)解析
内网渗透的基础知识(一)
内网渗透的基础知识(一)
CTFHub | SVN泄露
此题使用 kali-linux 系统完成,因为使用 windows 系统环境使用 Perl 配置环境变量过于繁琐,且 Perl 更适合在 Linux 环境中使用。在做这题碰到的坑还挺多,一开始尝试了使用各种 SVN 泄露漏洞利用工具,最后发现 dvcs-ripper 这个工具比较好用。配置好工具及环
CTFHub | 弱口令
此题目主要是了解对网站弱口令的爆破,首先查看网页,进行手工检查判断是否有网站验证码,此题没有网站验证码相对简单。那么可以使用抓包工具采用集束炸弹的方式进行暴力破解。最后检查攻击日志发现此题 flag 。
