java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞。另外呢,组里多位大佬对反序列化漏洞都有颇深的研究,借此机会,努力学习,作为狼群中的哈士奇希望成功的继续伪装下去,不被识破,哈哈哈哈!!! 参考文档:感谢所有参考 ...
分类:
编程语言 时间:
2021-07-19 16:56:13
阅读次数:
0
信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护,能够直接访问。就web来说这种类型的问题往往会带来巨大的危害,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。下面介绍一些常见的web信息泄漏漏洞。 .git源码泄露 在使用命令 ...
分类:
Web程序 时间:
2021-05-24 09:03:08
阅读次数:
0
前台getshell https://cloud.tencent.com/developer/article/1690304 /index.php/api/Uploadify/preview data:image/php;base64,PD9waHAgcGhwaW5mbygpOw== 后台登陆后ge ...
分类:
其他好文 时间:
2021-03-17 14:10:34
阅读次数:
0
前提 拿到数据库权限,可以执行sql语句,或者进入到phpmyadmin界面,或pmd界面 phpstudy 对应phpmyadmin界面 phpmyadmin.php upupw 对应pmd界面 u.php 流程 使用show variables like '%log%'及show variabl ...
分类:
数据库 时间:
2021-02-20 12:22:00
阅读次数:
0
西湖挑战杯WEB赛后总结 一、easyjson 这是题目一打开的模样,像极了爱情,我感觉我好像又可以了。 wp1: xff设置ip 获取目录 filename=index.php可过check 关键代码转unicode,然后进行getshell(具体见博客GETshell大法) {"\u0063\u ...
分类:
其他好文 时间:
2021-01-01 11:58:51
阅读次数:
0
jboss 漏洞复现 服务探测 响应头的 X-Powered-By: 根据页面报错来判断 一些默认目录也可以判断一二 未授权访问Getshell 影响版本 Jboss 4.x 以下 漏洞复现 访问:http://192.168.64.129:8080/jmx-console/ 找到 jboss.de ...
分类:
Web程序 时间:
2020-11-23 12:25:54
阅读次数:
10
typecho 的文件 如果是不是直接放到 html 目录下面,而是作为 html 的子目录来存放的话,默认就会出现这个问题。 在华为云上面,修改 /etc/nginx/conf.d/default.conf 这个文件 location ~ .*\.php$ 需要修改为 location ~ .*\ ...
分类:
其他好文 时间:
2020-09-17 22:25:20
阅读次数:
45
phpMyadmin是一个以PHP为基础的MySQL数据库管理工具,使网站管理员可通过Web接口管理数据库 。 phpMyadmin简介 phpMyadmin是一个以PHP为基础的MySQL数据库管理工具,使网站管理员可通过Web接口管理数据库 。 信息收集 此部分主要需要收集的是网站物理路径,否则... ...
分类:
Web程序 时间:
2020-09-09 19:05:24
阅读次数:
54
文件上传漏洞、解析漏洞总结 1.文件上传漏洞是什么 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意代码并执行从而控制服务器。显然这种漏洞是getshell最快最直接的 ...
分类:
Web程序 时间:
2020-07-24 09:52:21
阅读次数:
124
1前言 昨天武小栈把typecho从正式版升级到开发版就遇到了Database Query Error错误,详情是SQLSTATE[HY000]: General error: 1 no such table: typecho_metas,经过查看数据库后发现是升级的时候metas表被程序删掉了,顺 ...
分类:
数据库 时间:
2020-07-17 16:01:49
阅读次数:
92
