E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
SSRF漏洞利用
“诊脉”漏洞、自动管理,助力麒麟操作系统安全生态建设
主流的漏洞扫描工具是通过情报库检测识别漏洞,但缺少有效的漏洞验证程序(POC)或
漏洞利用
程序(EXP)。利用漏洞修复时
银河麒麟操作系统
·
2024-01-08 03:29
安全
linux
系统安全
[buuctf]刷题记录
ZJCTF2019]NiZhuanSiWei[GXYCTF2019]BabyUpload[GXYCTF2019]BabySQli[BSidesCF2020]Hadabadday1[网鼎杯2018]Fakebook考点
SSRF
pippaa
·
2024-01-08 01:55
刷题记录
安全
web安全
tomcat
漏洞利用
工具
READMETomcat漏洞检测工具支持检测漏洞:CVE-2017-12615PUT文件上传漏洞tomcat-pass-getshell弱认证部署war包CVE-2020-1938Tomcat文件读取/包含使用方式:[!]弱口令爆破加上全路径:/manager或/host-manager更多请访问0day星球-0day挖掘
白昼小丑
·
2024-01-08 00:20
渗透工具
tomcat
安全
web安全
【漏洞复现】海康威视iVMS综合安防系统任意文件上传漏洞复现 (在野0day)
文章目录前言声明一、产品简介二、漏洞概述三、影响范围四、漏洞验证五、
漏洞利用
六、修复建议前言海康威视iVMS综合安防系统存在任意文件上传漏洞,攻击者可通过构造特定Payload实施对目标的攻击。
李火火安全阁
·
2024-01-08 00:08
漏洞复现
海康威视iVMS
20-文件下载及读取漏洞
WEB漏洞-文件操作之文件下载读取全解思维导图1.文件被解析,则是文件解析漏洞2.显示源代码,则是文件读取漏洞3.提示文件下载,则是文件下载漏洞文件下载
漏洞利用
条件:(1)存在读文件的函数和操作(2)读取文件的路径用户可控且未校验或校验不严
阿凯6666
·
2024-01-07 21:14
服务器
数据库
网络安全
安全
ejs默认配置 原型链污染
文章目录ejs默认配置造成原型链污染漏洞背景漏洞分析
漏洞利用
例题[SEETF2023]ExpressJavaScriptSecurityejs默认配置造成原型链污染参考文章漏洞背景EJS维护者对原型链污染的问题有着很好的理解
_rev1ve
·
2024-01-07 13:26
原型链污染
安全
web安全
学习
node.js
SearchSploit
SearchSploit语法选项使用实例漏洞更新基本搜索标题搜索复制到文件夹显示完整路径删除不想要的结果利用管道输出最后Exploit-db是Kalilinux官方团队维护的一个安全项目,存储了大量的
漏洞利用
程序
蛊明
·
2024-01-07 12:16
#
kali
安全
linux
运维
安全
[GKCTF 2020]cve版签到
[GKCTF2020]cve版签到wp信息搜集题目页面:页面中有提示:Youjustview*.ctfhub.com点一下ViewCTFHub会回弹一些信息:抓包看看:url传参,判断是
ssrf
。
妙尽璇机
·
2024-01-07 08:08
ctf
web安全
网络安全
提交漏洞报告的细节和利用
细节昨天在后台收到了几个漏洞报告,忍不住吐槽一下,其中一篇写了可以
SSRF
访问内网Jenkins,虽然
SSRF
漏洞确实是存在的,可是人家的Jenkins在外网就可以访问到!!!
火线安全平台
·
2024-01-07 07:55
【v8
漏洞利用
模板】starCTF2019 -- OOB
文章目录前言参考题目环境配置漏洞分析前言一道入门级别的v8题目,不涉及太多的v8知识,很适合入门,对于这个题目,网上已经有很多分析文章,笔者不再为大家制造垃圾,仅仅记录一个模板,方便以后使用参考从一道CTF题零基础学V8
漏洞利用
题目环境配置关于
XiaozaYa
·
2024-01-07 06:04
V8
v8
利用基础
用友GRP-U8 ufgovbank.class XXE漏洞复现
0x02漏洞概述用友GRP-U8R10ufgovbank.class存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及
ssrf
攻击,存在一定的安全隐患。
OidBoy_G
·
2024-01-07 03:34
漏洞复现
安全
web安全
weblogic反序列化之T3协议(CVE-2015-4582)
基于T3协议的weblogic反序列化漏洞之前说过在weblogic里面其实反序列化
漏洞利用
中大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞,这篇来分析一下基于T3协议的
Ys3ter
·
2024-01-07 02:54
java安全
java
java
安全
【
漏洞利用
】One-Fox综合工具箱 v6.0 公开版——最强单兵作战工具箱
下载地址极核GetShell:One-Fox综合工具箱v6.0公开版简介One-Fox综合工具箱是由One-Fox安全团队出品并在微信公众号@狐狸说安全发布的一款综合工具箱,我愿称之为目前最强的单兵作战工具箱,其工具更是十分的齐全!详细工具内容请看下面截图!软件截图大小足足有5个多G,内容是十分丰富的!下载完进行压缩后之后,可以点击创建桌面快捷方式,直接在桌面生成一个图标,也可以点击一键日卫星启动
勇敢许牛牛在线大闯关
·
2024-01-06 15:24
网络安全
渗透测试
CTF
安全
网络安全
测试工具
ptmalloc cheatsheet
前言几年前已经写过了一篇ptmalloc与glibc堆
漏洞利用
,但是一来当时学习仓促,很多内容自己也只是一知半解;二来已经时过境迁,当时的glibc距今也更新了不少,而且当时理解的内容太久没有复习又全部还给老师了
有价值炮灰
·
2024-01-06 13:18
信息安全
安全
ptmalloc
IO_FILE 与高版本 glibc 中的
漏洞利用
技巧
前言在日常的二进制
漏洞利用
过程中,最终在获取到任意地址读写之都会面临一个问题:要从哪里读,写到哪里去。
有价值炮灰
·
2024-01-06 13:18
信息安全
系统安全
安全
dlmalloc、ptmalloc与glibc堆
漏洞利用
前言大家都知道在Linux中,或者说glibc中,动态分配/释放内存使用的是malloc/free函数。那么malloc中获得的内存,是从哪来的呢?一个直观想法是可以通过系统调用直接转发给kmalloc,但这样效率太低。用户态的事,尽量在用户态解决。因此,另一个直观想法就是需要时申请一片空间,然后在用户态管理和分配这些空间。堆分配器的目的和原理是大同小异的,各个不同的堆分配器区别主要体现在分配和管
有价值炮灰
·
2024-01-06 13:48
信息安全
算法
linux
安全
ubuntu
c语言
ctf中linux内核态的漏洞挖掘与利用系列(一)
说明该系列文章主要是从ctf比赛入手,针对linux内核上的漏洞分析、挖掘与利用做讲解,本篇文章主要介绍内核
漏洞利用
所需的前置知识以及准备工作。
1ad23eefefec
·
2024-01-06 01:23
安全测试之
SSRF
请求伪造
前言
SSRF
漏洞是一种在未能获取服务器权限时,利用服务器漏洞,由攻击者构造请求,服务器端发起请求的安全漏洞,攻击者可以利用该漏洞诱使服务器端应用程序向攻击者选择的任意域发出HTTP请求。
川石教育
·
2024-01-05 21:35
安全测试
web安全
安全性测试
网络安全
安全测试
SSRF漏洞攻击
SSRF请求伪造
漏洞利用
态势
热点态势漏洞态势漏洞态势截止2019年11月27日,NVD收录的2019年CVE漏洞数目为11633个,其中高危漏洞6549个。相较于2017年度的15881个和2018年的15861个,总体数量上有所下降,但是高危漏洞呈相对增长趋势。历年CVE漏洞数量变化2010201120122013201420152016201720182019漏洞总数高危漏洞数根据CWE对漏洞类型的分类标准,2019年排
萍水相逢_d272
·
2024-01-05 19:56
小H靶场笔记:DC-4
192.168.199.134扫一下开放端口(22、80)、服务、版本、漏洞根据扫描结果,在80端口可能有CSRF漏洞,可以尝试利用一下OS为Linux3.2-4.980端口开放,那先扫一下目录吧,发现没有什么
漏洞利用
那就看一下
只惠摸鱼
·
2024-01-05 16:39
靶场笔记
笔记
网络安全
3.4
SSRF
3.4.1.简介 服务端请求伪造(ServerSideRequestForgery,
SSRF
)指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。
最酷的崽_ec69
·
2024-01-05 15:50
渗透测试之
SSRF
SSRF
原理
SSRF
(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,
SSRF
是要目标网站的内部系统。
小银同学阿
·
2024-01-05 11:06
Weblogic安全漫谈(三)
本篇介绍coherence.jar中的
漏洞利用
链及后续绕过。经历2015到2018的3年迭代后,Weblogic的黑名单逐渐完善,废掉CC反序列化更是釜底抽薪。
杭州默安科技
·
2024-01-05 07:35
安全
webgl
网络
web安全
2024 年加密货币领域需要注意的 5 大网络安全威胁
1.黑客攻击和
漏洞利用
加密货币交易所和各种去中心化金融(DeFi)平台在2023年都经历了多次黑客攻击和利用,例如MixinNetwork在9月份因黑客攻击遭受了近2亿美
FreeBuf_
·
2024-01-04 15:51
web安全
区块链
网络
常见未授权访问漏洞详解
参考文章2:28种未授权访问漏洞(知乎)参考文章3:未授权访问漏洞总结(freebuf)参考文章4:常见未授权访问漏洞总结(先知社区)文章目录简介常见的未授权访问漏洞MongoDB未授权访问漏洞漏洞信息
漏洞利用
防御方法
poggioxay
·
2024-01-04 08:59
常见web漏洞
安全
未授权访问漏洞
数据库
漏洞发现&利用工具
文章目录Web&框架层面操作系统&服务&中间件Web框架中间件插件浏览器插件-辅助&资产&漏洞库BurpSuite插件-被动&特定扫描
漏洞利用
-msf漏洞资源整理库查找库
漏洞利用
框架
漏洞利用
-杂乱工具-
过期的秋刀鱼-
·
2024-01-04 05:17
#
Web安全
web安全
金和OA upload_json.asp存在任意文件上传漏洞
指纹识别fofa:app="金和网络-金和OA"
漏洞利用
poc:POST/c6/KindEditor1/asp/upload_json.as
3tefanie丶zhou
·
2024-01-04 03:00
漏洞复现
json
网络安全
安全
web安全
金和OA c6 uploadfileeditorsave接口存在任意文件上传漏洞
系统升开发平台,电子政务一体化平台智慧电商平合等服务漏洞概述金和-c6uploadfileeditorsave任意文件上传,攻击者可通过此漏洞获取服务器权限指纹识别fofa:app="金和网络-金和OA"
漏洞利用
3tefanie丶zhou
·
2024-01-04 03:59
漏洞复现
安全
网络
金和OA SAP_B1Config.aspx存在未授权访问漏洞
指纹识别fofa:app="金和网络-金和OA"
漏洞利用
poc:/C6/JHsoft.CostEAI/SAP_B1Conf
3tefanie丶zhou
·
2024-01-04 03:29
漏洞复现
网络安全
安全
网络安全:CTF入门必备之题型介绍
CTF题目类型一般分为Web渗透、RE逆向、Misc杂项、PWN二进制
漏洞利用
、Crypto密码破译。
程序学到昏
·
2024-01-03 17:16
黑客
爬虫
网络安全
网络
系统安全
安全
开发语言
web安全
服务端请求伪造
SSRF
SSRF
形成的原因,大都是由于服务端提供了从其他服务器或应用中获取数据的功能,但是却没有对目标地址进行有效的过滤和限制。
okaeri_
·
2024-01-03 01:01
安全
常见的
漏洞利用
框架整理
一、常见的
漏洞利用
框架MetasploitFramework:一个广泛使用的开源
漏洞利用
框架,用于测试和评估系统的安全性。ExploitDB:一个在线
漏洞利用
数据库,包含各种漏洞的利用代码。
程序员_大白
·
2024-01-03 01:27
网络安全
互联网
计算机
数据库
安全
web安全
天融信TOPSEC安全管理系统存在远程命令执行漏洞
文章目录产品简介漏洞概述指纹识别
漏洞利用
修复建议产品简介天融信TopSec安全管理系统,是基于大数据架构,采用多种技术手段收集各类探针设备安全数据,围绕资产、漏洞、攻击、威胁等安全要素进行全面分析,提供统一监测告警
3tefanie丶zhou
·
2024-01-02 20:55
漏洞复现
安全
网络安全
web安全
红队打靶练习:SAR: 1
目录信息收集1、arp2、netdiscover3、nmap4、nikto5、whatweb小结目录探测1、gobuster2、dirsearchWEBCMS1、cms漏洞探索2、RCE
漏洞利用
提权getuser.txt
真的学不了一点。。。
·
2024-01-02 07:40
红队渗透靶机
网络安全
《VulnHub》DC:1
49updated:2024-01-0112:46:50categories:WriteUp:Cyber-Rangeexcerpt:主机发现、目标信息扫描、漏洞扫描、网站指纹信息识别、网站目录扫描、drupalCMS
漏洞利用
永别了,赛艾斯滴恩
·
2024-01-02 05:10
安全
使用setoolkit制作钓鱼网站并结合dvwa靶场储存型XSS
漏洞利用
setoolkit是一款kali自带的工具使用命令启动setoolkit1)Social-EngineeringAttacks1)社会工程攻击2)PenetrationTesting(Fast-Track)2)渗透测试(快速通道)3)ThirdPartyModules3)第三方模块4)UpdatetheSocial-EngineerToolkit4)更新社会工程师工具包5)UpdateSETcon
Myon⁶
·
2024-01-01 23:42
web
XSS
xss
前端
web安全
2023最全黑客工具合集(附github地址)
本文章集成了2023全网优秀的开源攻防武器项目,包含:信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...)
漏洞利用
工具(各大
我不是hack
·
2023-12-31 20:23
网络安全
github
运维
安全
网络安全
web安全
【开源黑客工具】2023全网最全黑客/网络安全工具合集(附github地址)
本文章集成了全网优秀的开源攻防武器项目,包含:信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...)
漏洞利用
工具(各大CMS
网络安全-无涯
·
2023-12-31 20:51
web安全
安全
网络
网络安全
手把手教你安装Kali Linux
KaliLinux有一个友好的界面和易于使用的工具,可以帮助安全专家和渗透测试人员进行各种网络攻击和
漏洞利用
的测试。常用于做攻击主机使用。
鸢时望巧
·
2023-12-31 18:05
网络安全
安全
web安全
复现永恒之蓝提权漏洞
永恒之蓝
漏洞利用
了Windows操作系统中的SMB(ServerMessageBlock)协
鸢时望巧
·
2023-12-31 18:05
网络安全
网络安全
安全
系统安全
URIBuilder与
SSRF
在使用一个静态扫描工具时,报了一个
SSRF
的问题,经过数据流的分析,导致此工具报
SSRF
的原因是在调用URIBuilder的setPath函数时,参数是从请求里获取的,导致了数据流被污染,因此认为由URIBuilder
jimmyleeee
·
2023-12-31 12:42
web安全
ssrf
之gopher协议的使用和配置,以及需要注意的细节
gopher协议目录gopher协议(1)安装一个cn(2)使用Gopher协议发送一个请求,环境为:nc起一个监听,curl发送gopher请求(3)使用curl发送http请求,命令为(4)使用gopher输出(5)get请求(6)post请求需要注意的几个细节:URL:gopher://:/_后接TCP数据流gopher的默认端口是70如果发起post请求,回车换行需要使用%0d%0a,如果
爱喝水的泡泡
·
2023-12-31 05:31
网络安全
如何正确使用docker搭建redis服务器,安装gcc和make以及出现错误时的解决办法
搭建redis服务器目录搭建redis服务器(1)开启docker,并查看是否开启成功(2)启动上面创建的
ssrf
容器,并进入
ssrf
容器(3)进入opt,然后下载redis-5.0.5.tar.gz(
爱喝水的泡泡
·
2023-12-31 05:28
docker
redis
服务器
《网络安全面试总结》--大厂面试题目及经验
ssrf
是什么?
MaKe教室
·
2023-12-31 03:40
web安全
面试
安全
一些与漏洞相关的面试题
描述外网打点的流程靶标确认、信息收集、漏洞探测、
漏洞利用
、权限获取。最终的目的是获取靶标的系统权限/关键数据。在这个过程中,信息收集最为重要。掌握靶标情报越多,后续就会有更多的攻击方
廾匸0705
·
2023-12-30 22:52
漏洞
面试题
漏洞
安全
开发知识点-JAVA图形化-JavaFX
JavaFXJavaFX通用
漏洞利用
工具开发从无到无环境配置vscode配置JavaFXJavaFX基本程序结构创建项目新建一个包新建入口类(主类)新建(FX)label标签创建按钮JavaFX应用的Stage
amingMM
·
2023-12-30 14:27
java
开发语言
从0到1浅析Redis服务器反弹Shell那些事
Shell2.1Web服务写入Webshell2.2Linux定时任务反弹shell2.3/etc/profile.d->反弹shell2.4写入ssh公钥登录服务器2.5利用Redis主从复制RCE2.6
SSRF
Tr0e
·
2023-12-30 07:39
渗透测试
Redis攻防
ssrf
之dict协议和file协议
localhost2:8181/
ssrf
/
ssrf
1.
爱喝水的泡泡
·
2023-12-30 05:53
网络协议
ssrf
之curl协议,以及查看curl支持协议的办法
1.curl支持的协议将这个内容写在php中打开小皮运行后可得用ctrl+f搜索curl得可以查出curl所支持的协议2.用
ssrf
获取信息
爱喝水的泡泡
·
2023-12-30 05:22
网络协议
12.30号(周六)公开课 |
SSRF
打穿内网
点击星标,即时接收最新推文MS08067安全实验室视频号已上线欢迎各位同学关注转发~—实验室旗下直播培训课程—和20000+位同学加入MS08067一起学习
Ms08067安全实验室
·
2023-12-30 00:19
上一页
1
2
3
4
5
6
7
8
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他