优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm
05-04
681
0
WordPress 图片优化和压缩插件:Smush
05-04
681
0
推荐阅读
05-04
681
0
推荐阅读
判断 WordPress 文章中有特定短代码时加载脚本
短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本
05-04
487
0
专题
(1)篇
WordPress 实用代码
WordPress 实用代码
专题
(0)篇
WordPress 插件
WordPress 插件
专题
(0)篇
Web前端
Web前端
专题
(0)篇
WordPress 常见问题
WordPress 常见问题
AnQuanKeInfo
Thinkphp 6.0 新的Gadget
网上关于thinkphp pop 链的分析大概都是将下面几篇文章自己复现了一遍
https://blog.riskivy.com/%E6%8C%96%E6%8E
https://blog.riskivy.com/%E6%8C%96%E6%8E
2023-11-301评论
AnQuanKeInfo
谈谈log4j的反序列化
0x01 前言
最近不是爆出了一个log4j的反序列化吗,巧的是我正好在总结java反序列化的知识,其实一开始是没太关注这个漏洞的,毕竟,log4j只是一个组件
最近不是爆出了一个log4j的反序列化吗,巧的是我正好在总结java反序列化的知识,其实一开始是没太关注这个漏洞的,毕竟,log4j只是一个组件
2023-11-300评论
AnQuanKeInfo
教你一步一步构造CVE-2020-2555 POC
1、前言
欸欸欸,不想写论文,起床发现https://www.zerodayinitiative.com/blog/2020/3/5/cve-2020-2555
欸欸欸,不想写论文,起床发现https://www.zerodayinitiative.com/blog/2020/3/5/cve-2020-2555
2023-11-302评论
AnQuanKeInfo
ysoserial-CommonsCollections系列总结篇
前言:
网上分析CommonsCollections调用链的文章也有不少,但是看完分析文章直接手动构造利用链仍有难度,因此这篇文章主要总结本人调试ysoseri
网上分析CommonsCollections调用链的文章也有不少,但是看完分析文章直接手动构造利用链仍有难度,因此这篇文章主要总结本人调试ysoseri
2023-11-301评论
AnQuanKeInfo
浅析Fastjson1.2.62-1.2.68反序列化漏洞
0x00 前言
这里简单学习分析下Fastjson 1.2.62-1.2.68版本之间的一些Gadget和expertClass绕过利用。
黑名单绕过的Gadg
这里简单学习分析下Fastjson 1.2.62-1.2.68版本之间的一些Gadget和expertClass绕过利用。
黑名单绕过的Gadg
2023-11-292评论
AnQuanKeInfo
Jackson反序列化漏洞(CVE-2020-36188)从通告到POC
0x01 前言
这里将分析Jackson反序列化漏洞(CVE-2020-36188)的分析过程,同时将会把如何从漏洞通告来分析构造并且调试出POC代码分享给大家
这里将分析Jackson反序列化漏洞(CVE-2020-36188)的分析过程,同时将会把如何从漏洞通告来分析构造并且调试出POC代码分享给大家
2023-11-294评论
AnQuanKeInfo
如何高效的挖掘Java反序列化利用链?
前言
Java反序列化利用链一直都是国内外研究热点之一,但当前自动化方案gadgetinspector的效果并不好。所以目前多数师傅仍然是以人工+自研小工具的方
Java反序列化利用链一直都是国内外研究热点之一,但当前自动化方案gadgetinspector的效果并不好。所以目前多数师傅仍然是以人工+自研小工具的方
2023-11-293评论
AnQuanKeInfo
从TemplatesImpl类Gadget中提取bytecode
作者:fnmsd@360云安全
大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)前言
在Java反序列化的gadget中,有很多使用可反序列化Te
大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)前言
在Java反序列化的gadget中,有很多使用可反序列化Te
2023-11-290评论
AnQuanKeInfo
CVE-2020-14825——WebLogic反序列化
一、原理(一)概述
不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易完全修补。CVE-2020
不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易完全修补。CVE-2020
2023-11-293评论
AnQuanKeInfo
CVE-2020-14825——WebLogic反序列化
一、原理(一)概述
不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易完全修补。CVE-2020
不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易完全修补。CVE-2020
2023-11-293评论
AnQuanKeInfo
CVE-2020-14825——WebLogic反序列化
一、原理(一)概述
不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易完全修补。CVE-2020
不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易完全修补。CVE-2020
2023-11-250评论
AnQuanKeInfo
House OF Kiwi
House_OF_Kiwi
CTF的Pwn题里面,通常就会遇到一些加了沙盒的题目,这种加沙盒的题目,在2.29之后的堆题中,通常为以下两种方式劫持__free_
CTF的Pwn题里面,通常就会遇到一些加了沙盒的题目,这种加沙盒的题目,在2.29之后的堆题中,通常为以下两种方式劫持__free_
2023-11-253评论
AnQuanKeInfo
PWN堆溢出技巧:ORW的解题手法与万金油Gadgets
现在PWN越来越卷,很多题目都有沙箱,需要ORW来读flag,本文以MAR DASCTF 2021中的ParentSimulator为例,由复杂到简单介绍几种O
2023-11-252评论
AnQuanKeInfo
利用Script Gadget进行CSP绕过
作为现代社会的核心技术之一,Web深刻地改变了人与人和数据交互的方式。 Web上最严重的攻击之一是跨站点脚本(XSS),攻击者可以在该脚本中将其恶意JavaSc
2023-11-250评论
AnQuanKeInfo
ysoserial魔改系列-Fuzzing SUID
0x00 前言
在这次护网时就已产生了魔改ysoserial的想法, 原因是其本身自携带了许多的反序列化Gadgget,并且frohoff也在内部适配了许多的U
在这次护网时就已产生了魔改ysoserial的想法, 原因是其本身自携带了许多的反序列化Gadgget,并且frohoff也在内部适配了许多的U
2023-11-242评论
4HOU_新闻
谷歌发起“Operation Rosehub”,为数千开源项目打补丁
去年,谷歌员工发起了一项活动,帮助成千上万的开源项目修补广泛运用于Apache Commons Collections (ACC)中的一个远程代码执行漏洞。该活
2023-11-241评论
AnQuanKeInfo
反序列化入口PriorityQueue分析及相关Gadget总结
一、前言
最近分析了下Weblogic CVE-2020-14654和CVE-2020-14841的Gadget,里面都用到了PriorityQueue作为入口
最近分析了下Weblogic CVE-2020-14654和CVE-2020-14841的Gadget,里面都用到了PriorityQueue作为入口
2023-11-242评论
AnQuanKeInfo
Java反序列化和集合之间的渊源
0x01 前言
从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一
从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一
2023-11-240评论
AnQuanKeInfo
上海市大学生大赛 Writeup
WebEzgadget
import com.ezgame.ctf.tools.ToStringBean;
import com.sun.corba.se.sp
import com.ezgame.ctf.tools.ToStringBean;
import com.sun.corba.se.sp
2023-11-241评论
AnQuanKeInfo
URLDNS Gadget分析
前言
URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不
URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不
2023-11-240评论
AnQuanKeInfo
Java安全攻防之从wsProxy到AbstractTranslet
本文主要是围绕在Java反序列化利用过程中,默认使用 ysoserial 带来的一些问题和局限性。通对代码的二次改造,最终能完成序列化数据的体积的减少和Webs
2023-11-241评论
AnQuanKeInfo
ARM 架构—探究绕过NX的一种方式Ret2ZP
ZONE.CI 全球网:0x01 前言
ARM 指令集架构,常用于嵌入式设备和智能手机中,是从RISC衍生而来的。并且ARM处理器几乎出现在所有的流行智能手机中,包括IOS、Android、Windo
ARM 指令集架构,常用于嵌入式设备和智能手机中,是从RISC衍生而来的。并且ARM处理器几乎出现在所有的流行智能手机中,包括IOS、Android、Windo
2023-11-130评论
AnQuanKeInfo
《Counterfeit Object-oriented Programming》 论文笔记
ZONE.CI 全球网:一、简介
现阶段,ROP (面向返回的编程技术) 已经成为了一种非常流行的利用手法,同时现在也存在各种方式来保护程序免受 ROP 工具,例如 shadow stack 技术。而
现阶段,ROP (面向返回的编程技术) 已经成为了一种非常流行的利用手法,同时现在也存在各种方式来保护程序免受 ROP 工具,例如 shadow stack 技术。而
2023-11-134评论