前言尽管长久以来,测试服务器端请求伪造(SSRF)漏洞时,多是为了探寻内网服务与端口,以此获取敏感数据或实现远程代码执行(RCE),但近期遇到的一些情况让我不得不重新思考这一漏洞的…
前言此文章篇幅不算太长,但是文章过于复杂,我尽量用最简单的语句来让大家明白CC1链和URLDNS链的流程,然后的话可能需要一些代码基础知识才能理解java反序列化,所以初学java…
本文是之前文章的BlueSpy技术的复现过程:https://mp.weixin.qq.com/s/iCeImLLPAwwKH1avLmqEpA2个月前,网络安全和情报公司Tarl…
CVE-2024-3431 EyouCMS 反序列化漏洞研究分析易优内容管理系统(EyouCms) 隶属于海口快推科技有限公司,专注中小型企业信息传播解决方案,利用网络传递信息在一…
漏洞概述PHP CGI(Common Gateway Interface)是在Windows平台上运行PHP的一种方式。CGI是一种标准接口,允许Web服务器与外部应用程序(如PH…
前置知识tomcat三大组件Tomcat 是一个开源的 Java Servlet 容器,当一个 HTTP 请求到达Tomcat以及返回响应时,它会先后经过Listener、Filt…
产品介绍:OpenCart 是世界著名的开源电子商务系统,系统开发语言为 PHP。早期由英国人 Daniel Kerr 个人开发,项目托管在 GitHub。OpenCart 总部设…
1.靶机介绍下载地址:https://download.vulnhub.com/unknowndevice64/unknowndevice64-V1.0.ova攻击机:192.16…
前言在上一篇文章【渗透测试 | 黑白盒测试配合实战经验分享】,我们共同踏上了黑白盒渗透测试的旅程,探索了黑白盒测试的奇妙配合。那篇文章中,我们接触某个系统的PHP源代码,如同打开了…
SQL注入01 MyBatis框架中的注入漏洞Mybatis框架支持的CURD功能可以直接搜索XML文件中的${和${}拼接的SQL语句,如果SQL的参数可控,就可能造成注入风险。…