代码编织梦想

bugku-web-安慰奖_:carmelo anthony的博客-爱代码爱编程

题目没给提示  点开链接  是空白页面  查看源代码  base64加密  拿去解码  备份文件    使用工具跑一下目录    (dirsearch) 存在一个flag.php文件  但是访问没有结果 锁定index.php.bak 文件     下载下来 打开  进行代码审计   是php序列化  反序列化的内

ctfhub find_it_:carmelo anthony的博客-爱代码爱编程

拿到题目 告诉我们它的php文件不见了 使用工具 dirsearch 目录扫描一下 得到一个可用文件  访问试试看  找到了不见的php文件  但是不能访问 根据题目find_it  说明应该是源代码泄露 网站文件泄露常用名称  网站文件泄露常用后缀 加上后缀访问 无果  这里有个很大的坑   就是1nde

jpress代码审计分享_长白山攻防实验室的博客-爱代码爱编程

声明 出品|先知社区(ID:1871162774168111) 以下内容,来自先知社区的1871162774168111作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 最近做CMS审计的时候恰好碰到了这么一个框架,学习漏洞不光是要会打,

go 代码审计漏洞(file operation\redirect\cors)_god_zeo的博客-爱代码爱编程

go 代码审计去的一些其他漏洞 文件操作、路径穿越、重定向、CORS 0x04 File Operation 文件操作 0x041 path traversing 路径穿越 在执行文件操作时,如果对从外部传入的文件名没

vscode-codeql配合靶场使用_ashely-mess的博客-爱代码爱编程

CodeQL配合靶场使用 1.靶场准备 下载到本地即可。 https://github.com/l4yn3/micro_service_seclab/ 2.CodeQL配置 命令行查看java环境变量,填进去。

codeql与vscode安装及配置(mac版)_ashely-mess的博客-爱代码爱编程

CodeQL与VSCode安装及配置(Mac版) 1.CodeQL安装 (1)CodeQL下载 地址:https://github.com/github/codeql-cli-binaries/releases 根据

go 代码审计高危漏洞(sqli\cmd\ssrf)_god_zeo的博客-爱代码爱编程

0x01 Go 代码审计高危漏洞 一个go写的WEB漏洞靶场,实际自己写一下,加固一下知识 https://github.com/godzeo/go-gin-vul GIN框架 整个web框架是go-gin-Examp

网络威胁分析师必须具备的十种能力_李白来了的博客-爱代码爱编程

网络威胁并非一成不变,新型威胁攻击层出不穷,破坏性也越来越大,具体包括社会工程攻击、恶意软件、分布式拒绝服务(DDoS)攻击、高级持续性威胁(APT)、木马、内容擦除攻击和数据销毁等。据思科公司预测,2022年DDoS或社会

php代码审计-ourphp 后台任意文件上传getshell_9z1nc的博客-爱代码爱编程

OurPhp 后台任意文件上传getshell 思路 漏洞存在 ourphp_filebox.php 文件由于未过滤上传.user.ini文件我们可以自定义一个.user.ini文件,再上传一个图片马getshell。

zzcms sql注入分析_小韩韩啊的博客-爱代码爱编程

没有代码基础的同学可以看下:【零基础】php代码审计之sql注入_小韩韩啊的博客-CSDN博客_php代码审计sql注入 漏洞文件: /admin/bad.php <?php include("admin.php");?> ... #line 10-41 checkadminisdo("badusermessage"); $action=

zzcms 2022版白盒审计_xxxxxibdrgn的博客-爱代码爱编程

ZZCMS 2022版白盒审计 环境搭建 ZZCMS官方下载最新版安装包 http://www.zzcms.net/ 产品招商 下载后解压到phpstudy的WWW路径下 访问可以直接localhos

『java cve』cve-2022-42889: apache commons text rce(text4shell)_ho1aas的博客-爱代码爱编程

文章目录 影响版本漏洞原理漏洞复现代码审计补丁修复参考完 影响版本 Apache Commons Text ≤ 1.9 漏洞原理 插值器允许执行script 原理跟CVE-2022-33980: Apa

php内存木马病毒实现原理剖析_小松聊php进阶的博客-爱代码爱编程

前言 内存木马,就是在内存中运行的木马病毒,没有代码实体。内存木马有着强隐蔽性,排查困难,杀不死(俗称不死马)的特点。网络安全行业,有着很强的木桶效应。系统对抗黑帽,胜负取决于安全最薄弱的环节。黑帽对抗白帽,胜负取决于攻击

java代码审计审技巧及方法_mingzhi61的博客-爱代码爱编程

java代码审计系统课程-java代码审计入门篇pdf,java代码审计课程-代码审计视频教程-信息安全-CSDN程序员研修院 java代码审计一般是工具+人工的手段进行审计,整个审计主要通过以下三个方面进行审计: 1、常规代码审计 2、框架性审计:各种开发框架,如shiro、struts2,再审计过程住主要关注a、框架版本是否过低b、触发漏洞的

百家cms代码审计_beyond my的博客-爱代码爱编程

百家CMS代码审计 1. XSS漏洞 1. 黑盒测试 在店铺管理处添加店铺 在店铺名称和绑定域名输入XSS代码,接着提交保存 返回后弹窗,XSS代码已成功执行,存在XSS漏洞 1. 代码审计 根据路由找到店铺管理

buuctf解题思路_长白山攻防实验室的博客-爱代码爱编程

声明 出品|长白山攻防实验室(ID:逆向萌新) 以下内容,来自长白山攻防实验室的逆向萌新作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何

fastjson反序列化分析_zxl2605的博客-爱代码爱编程

1.fastjson简单使用 User: package com.naihe; public class User { private String name; private int age;

fastjson 1.2.22-24 反序列化漏洞分析_zxl2605的博客-爱代码爱编程

Fastjson 1.2.22-24 FastJson在 1.2.22 - 1.2.24 版本中存在反序列化漏洞,主要原因FastJson支持的两个特性: fastjson反序列化时,JSON字符串中的 @type 字段

「java代码审计」华夏erp3.0代码审计_zxl2605的博客-爱代码爱编程

本文转载于:https://blog.csdn.net/Ananas_Orangey/article/details/120340010?ops_request_misc=%257B%2522request%255Fi

apache shiro 认证绕过漏洞 cve-2020-1957 漏洞复现_zxl2605的博客-爱代码爱编程

Apache Shiro 认证绕过漏洞 CVE-2020-1957 漏洞复现 一、漏洞描述二、漏洞影响三、漏洞复现 1、环境搭建2、漏洞复现 四、漏洞POC五、参考链接 一、漏洞描述 Apache Shiro