クレヨンしんちゃん
  推荐文章
渗透测试

渗透测试 APP流量通用抓包方法

好久不见,距离上一次水文章已经两个月过去了。 非常抱歉,让大家久等了。

阅读更多
Web漏洞

文件解析漏洞总结

服务器解析漏洞算是历史比较悠久了,但如今依然广泛存在。在此记录汇总一些常见服务器的解析漏洞,比如IIS6.0、IIS7.5、apache、nginx等方便以后回顾温习。

阅读更多
漏洞复现

Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞

Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

阅读更多
漏洞复现

Ahache Solr velocity模板命令执行漏洞

国外安全研究员 s00py 在 Twitter 公开了 Apache Solr Velocity 模版注入远程命令执行的 EXP

阅读更多
ThinkCMFX 漏洞分析集合 ThinkCMFX 漏洞分析集合
ThinkCMF 有两个版本 V版本和X版本 ThinkCMF V 基于ThinkPHP3 开发官方已经不再维护。 本文将对 **ThinkCMFX** 2.2.3 进行漏洞总结分析。 **ThinkCMFX2.2.3** 下载地址: https://github.com/thinkcmf/
2019-11-02
Ahache Solr velocity模板命令执行漏洞 Ahache Solr velocity模板命令执行漏洞
国外安全研究员 s00py 在 Twitter 公开了 Apache Solr Velocity 模版注入远程命令执行的 EXP
2019-11-01
渗透测试 APP流量通用抓包方法 渗透测试 APP流量通用抓包方法
好久不见,距离上一次水文章已经两个月过去了。 非常抱歉,让大家久等了。
2019-10-26
文件解析漏洞总结 文件解析漏洞总结
服务器解析漏洞算是历史比较悠久了,但如今依然广泛存在。在此记录汇总一些常见服务器的解析漏洞,比如IIS6.0、IIS7.5、apache、nginx等方便以后回顾温习。
2019-09-15
Steam Windows客户端本地提权0day Steam Windows客户端本地提权0day
适用于Windows系统流行得Steam游戏客户端存在提权0Day漏洞,该漏洞可允许具有低权限攻击者以管理员身份运行程序
2019-09-15
1039家校通漏洞总结 1039家校通漏洞总结
北京壹零叁玖科技发展有限公司(简称1039公司)是国内第一家专业从事培训行业标准化软件开发和大型应用性平台的高科技企业,是培训行业信息化建设的最佳合作伙伴。
2019-09-14
Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞 Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞
Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
2019-09-14