0x00 序言 总结下命令执行绕过字母数字的一些小技巧。 0x01 原理 管理员为了防止任意用户输入的恶意代码导致的命令执行,在用户输入处加了一层waf拦截,waf可能是通过正则匹配过滤了字母,也可能是通过正则匹配过滤了字母和数字。 0x02 过滤了字母的绕过方式 <?php /* # -*- co ...
分类:
其他好文 时间:
2021-06-05 18:18:17
阅读次数:
0
0x00 原理 SSTI漏洞全称服务器模板注入漏洞,服务器模板接收了用户输入的恶意代码,未经过滤便在服务端执行并通过渲染模板返回给用户,使得用户可以通过构造恶意代码在服务端执行命令。 0x01 ctf题复现 访问页面 发现fastapi,可直接访问fastapi的docs目录 /docs 根据页面信 ...
01.加固 : 为什么应用需要加固 防止应用被逆向分析、反编译,二次打包; 防止嵌入各类病毒,广告等恶意代码; 从源头保护数据安全和开发者利益; 02. 设置多渠道 a. 统计各个渠道包的情况,例如哪个渠道的下载最大,哪个渠道下载的客户活跃度或者粘性更高等; b.针对不同的渠道做一些不同的操作; 目 ...
分类:
移动开发 时间:
2021-06-02 12:31:03
阅读次数:
0
一、实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行。 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可 ...
分类:
其他好文 时间:
2021-04-12 12:49:20
阅读次数:
0
xss跨站脚本攻击 针对网站应用程序的安全漏洞技术,是代码注入的一种。它允许用户将恶意代码注入网页,其他用户在浏览网页时会受到影响。恶意用户利用xss代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容。 xss分类: 反射型 非持久型xss,一次性的 攻击方式:攻击者通过 ...
分类:
其他好文 时间:
2021-02-26 13:25:01
阅读次数:
0
0x00 实验环境 攻击机:Win 10 靶机也可作为攻击机:Ubuntu18 (docker搭建的vulhub靶场) 0x01 影响版本 < ElasticSearch 1.2的版本 0x02 漏洞复现 简介:通过_search方法的参数传入恶意代码,远程执行任意MVEL表达式和Java代码(如下 ...
分类:
其他好文 时间:
2021-02-19 13:35:08
阅读次数:
0
天天都在说优化Dockerfile。到底怎么优化,优化后的检验指标又是什么?没有考虑清楚行动目的,隔空放炮,必然徒劳无功。笔者最近准备在CI上增加安全检测,在分析案例样本的时候,找到了比较流行的struts2漏洞,其中S2-052远程代码执行漏洞的利用方式就是在POST请求中添加恶意代码或命令。如Demo片段所示。<command><string>touch</str
分类:
系统相关 时间:
2020-12-25 13:21:15
阅读次数:
0
周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响图片整理|覃云图片今天上午,小编在Twitter上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。这篇推文及其附带的GitHub链接大体是说每周npm下载量超过200万的package被注入了恶意代码,***利用该恶意代码访问热门JavaScript库,目标是copay(开源比特币钱包)及其衍生
分类:
其他好文 时间:
2020-12-25 12:48:22
阅读次数:
0
13岁女孩因发布JavaScript无限循环代码被捕整理|覃云据外媒报道,日本刈谷市警方最近逮捕了一名13岁的女学生,指控她在网上公告栏上在线分发恶意代码。这个所谓的恶意代码其实是一个恶作剧,它触发了JavaScript无限循环,在用户访问某个链接时显示“不可关闭”的弹出窗口。好奇的同学可以点这个链接试试:https://web.archive.org/web/20180313151740/htt
分类:
编程语言 时间:
2020-12-24 12:07:57
阅读次数:
0
苹果cms最新漏洞总是被挂马跳转劫持如何解决分类专栏:网站漏洞修复网站安全文章标签:苹果cms电影程序总是被挂马如何解决数据库总是被篡改怎么解决版权2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码,数据库中的VOD表里的d_name被全部修改,导致网站打开后直接跳转到S站或者弹窗广告,目前该maccms漏洞受影响的苹果系统版本是V8,V
分类:
移动开发 时间:
2020-12-07 11:47:16
阅读次数:
13