关注我们

  • Weblogic使用ClassLoader和RMI来回显命令执行结果

    Weblogic使用ClassLoader和RMI来回显命令执行结果

    最近在研究weblogic,执行命令没有回显,Google了一下,发现可以通过RMI来解决weblogic反序列化RCE没有命令执行结果回显,先看下基础知识。Java类Java是编译型语言,所有的Java代码都需要被编译成字节码来让JVM执...

    CDL路飞 安全文摘 2020.02.26 11385
  • Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)

    Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)

    Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。Ghostcat(幽灵猫) 是由长亭科技安全研究员发现的存在于 Tom...

    星辰 安全文摘 2020.02.26 11602
  • CVE-2019-0232 远程代码执行漏洞-复现

    CVE-2019-0232 远程代码执行漏洞-复现

    漏洞简介:该漏洞是由于Tomcat CGI将命令行参数传递给Windows程序的方式存在错误,使得CGIServlet被命令注入影响。该漏洞只影响Windows平台,要求启用了CGIServlet和enableCmdLineArgument...

    CDL路飞 安全文摘 2020.02.23 11777
  • CVE-2020-1938 Tomcat 文件读取/包含漏洞复现

    CVE-2020-1938 Tomcat 文件读取/包含漏洞复现

    0X1 漏洞概述日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。 2月14日,Apache Tomcat 官方发布安全更新版本,修复漏洞。2月2...

    CDL路飞 安全文摘 2020.02.23 12293
  • 当黑客拥有一台算力无限的主机,会做出哪些骚操作?

    当黑客拥有一台算力无限的主机,会做出哪些骚操作?

    所以对于黑客而言,一台算力无限的主机应该只会影响到一个领域,那就是密码学。因为整个现代密码学的安全基础,就建立在各种计算困难问题和关于计算复杂度的假设上。比如我们假设目前的各类密码散列函数(Cryptographic Hash Functi...

    Lzers 安全文摘 2020.02.21 12420
  • 漏洞预警|豆瓣日记页面存在存储型XSS

    漏洞预警|豆瓣日记页面存在存储型XSS

    先Po图别在意黑界!这段时间抖音洗脑了哈哈哈具体弹窗代码<img src="111" onerror="alert('黑白网漏洞测试')">弹窗成功,测...

    安云 安全文摘 2020.02.21 11867
  • 我用Python找到了隔壁蹭网妹子的QQ号

    我用Python找到了隔壁蹭网妹子的QQ号

    最近发现晚上有人老是在蹭网,而且严重怀疑是我的美女单身邻居,这可是千载难逢的好机会。于是我用Python轻松找到了它的QQ号,开始了我的桃花之旅......下面给大家介绍一下我是怎么做到的。1、登入路由器进行分析蹭网的信息全部都在路由器上,...

    googxxoo 安全文摘 2020.02.20 12955
  • QQ安全中心 - 动态口令的生成算法

    QQ安全中心 - 动态口令的生成算法

    鉴于该App的服务群体是中文用户,故本篇文章不提供英文版。I won't provide English version for this article. Because the app serves for QQ users w...

    星辰 安全文摘 2020.02.20 12155
  • CVE-2020-7471 漏洞详细分析原理以及POC

    CVE-2020-7471 漏洞详细分析原理以及POC

    这几天疫情爆发,只能待在家里为社会多做些贡献,一天深夜无意逛安全资讯的时候发现最新的一个漏洞:CVE-2020-7471 Potential SQL injection via StringAgg(delimiter)。漏洞是 django...

    昔日 安全文摘 2020.02.20 11602
  • 对某灰色产业cms审计|云购CMS

    对某灰色产业cms审计|云购CMS

    别祝我今天快乐 祝我今天有你~    嘿嘿嘿,这是xDay团队的第一篇反黑灰产业的代码审计文章。这次给大家看的是一个曾经风靡一时的一元云购的一套程序。我就纳闷儿了...这玩意儿现在还在骗人?...

    昔日 安全文摘 2020.02.15 12707