起因是HackTM中一道Node.js题(Draw with us),全文没有一点攻击性的东西,也不是漏洞详情
CVE-2019-16759 vBulletin 5.x 前台代码执行漏洞 分析学习
刷刷先知,增长知识
CVE 2019 16097 Harbor权限提升 分析学习
在一次项目中遇到了Harbor,当时没在意,第二天起床的时候发现有个漏洞,趁着项目结束后的空档,赶紧分析学习一波
使用URLDNS检测java反序列化漏洞
在最近的攻防演习中遇到了许多java反序列化漏洞,但是每次都是直接exp打过去,耗时又费力。后来使用了ysoserial的URLDNS模块,批量检测后就精准打击了。所以这次结束后就来研究下其原理。
[经典诵读] shiro ≦ 1.2.4 反序列化学习
分析
漏洞产生于传递给网站的rememberMe这个Cookie,通过构造恶意Cookie,可以让Shiro反序列化出恶意代码。所以看下Shiro是怎么处理Cookie的
[经典诵读] C3p0 利用链分析学习
分析
首先是阅读神器ysoserial是怎样调用c3p0的
https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/C3P0.java