分享 · 收获
  文章分类
工具篇
渗透篇
APP篇
博客篇
漏洞篇
Docker篇
系统篇
Python篇
前端篇
应急篇
钓鱼篇
phpStudy后门漏洞复现 phpStudy后门漏洞复现
2019年9月20日,网上传出 phpStudy 软件存在后门,疑似phpStudy软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门,可以正向执行任意php代码。
2021-07-22 漏洞篇
phpStudy后门
Linux sudo权限提升漏洞复现 Linux sudo权限提升漏洞复现
2021年1月26日,Sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。
2021-01-31 漏洞篇
权限提升 Sudo CVE-2021-3156
未授权访问漏洞总结 未授权访问漏洞总结
这篇文章主要收集一些常见的未授权访问漏洞。未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
2020-12-30 漏洞篇
未授权访问
JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149) JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)
JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3.0的规范。2017年8月30日,厂商Redhat发布了一个JBOSS的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。
2020-11-30 漏洞篇
JBoss 远程代码执行
Weblogic 权限绕过远程代码执行漏洞(CVE-2020-14882/14883) Weblogic 权限绕过远程代码执行漏洞(CVE-2020-14882/14883)
攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管WebLogic管理控制台,进而在远程Weblogic服务器上以未授权的任意用户身份执行命令。
2020-11-20 漏洞篇
远程代码执行 未授权访问 Weblogic
Spring Data Commons 远程命令执行复现 Spring Data Commons 远程命令执行复现
Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。
2020-11-01 漏洞篇
Spring CVE-2018-1273
10 / 13