WordPress 图片优化和压缩插件:Smush 优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm 05-04 681 0
判断 WordPress 文章中有特定短代码时加载脚本 短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本 05-04 487 0
AnQuanKeInfo Thinkphp 6.0 新的Gadget 网上关于thinkphp pop 链的分析大概都是将下面几篇文章自己复现了一遍 https://blog.riskivy.com/%E6%8C%96%E6%8E 2023-11-301评论
AnQuanKeInfo 谈谈log4j的反序列化 0x01 前言 最近不是爆出了一个log4j的反序列化吗,巧的是我正好在总结java反序列化的知识,其实一开始是没太关注这个漏洞的,毕竟,log4j只是一个组件 2023-11-300评论
AnQuanKeInfo 教你一步一步构造CVE-2020-2555 POC 1、前言 欸欸欸,不想写论文,起床发现https://www.zerodayinitiative.com/blog/2020/3/5/cve-2020-2555 2023-11-302评论
AnQuanKeInfo ysoserial-CommonsCollections系列总结篇 前言: 网上分析CommonsCollections调用链的文章也有不少,但是看完分析文章直接手动构造利用链仍有难度,因此这篇文章主要总结本人调试ysoseri 2023-11-301评论
AnQuanKeInfo 浅析Fastjson1.2.62-1.2.68反序列化漏洞 0x00 前言 这里简单学习分析下Fastjson 1.2.62-1.2.68版本之间的一些Gadget和expertClass绕过利用。 黑名单绕过的Gadg 2023-11-292评论
AnQuanKeInfo Jackson反序列化漏洞(CVE-2020-36188)从通告到POC 0x01 前言 这里将分析Jackson反序列化漏洞(CVE-2020-36188)的分析过程,同时将会把如何从漏洞通告来分析构造并且调试出POC代码分享给大家 2023-11-294评论
AnQuanKeInfo 如何高效的挖掘Java反序列化利用链? 前言 Java反序列化利用链一直都是国内外研究热点之一,但当前自动化方案gadgetinspector的效果并不好。所以目前多数师傅仍然是以人工+自研小工具的方 2023-11-293评论
AnQuanKeInfo 从TemplatesImpl类Gadget中提取bytecode 作者:fnmsd@360云安全 大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)前言 在Java反序列化的gadget中,有很多使用可反序列化Te 2023-11-290评论
AnQuanKeInfo CVE-2020-14825——WebLogic反序列化 一、原理(一)概述 不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易完全修补。CVE-2020 2023-11-293评论
AnQuanKeInfo CVE-2020-14825——WebLogic反序列化 一、原理(一)概述 不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易完全修补。CVE-2020 2023-11-293评论
AnQuanKeInfo CVE-2020-14825——WebLogic反序列化 一、原理(一)概述 不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易完全修补。CVE-2020 2023-11-250评论
AnQuanKeInfo House OF Kiwi House_OF_Kiwi CTF的Pwn题里面,通常就会遇到一些加了沙盒的题目,这种加沙盒的题目,在2.29之后的堆题中,通常为以下两种方式劫持__free_ 2023-11-253评论
AnQuanKeInfo PWN堆溢出技巧:ORW的解题手法与万金油Gadgets 现在PWN越来越卷,很多题目都有沙箱,需要ORW来读flag,本文以MAR DASCTF 2021中的ParentSimulator为例,由复杂到简单介绍几种O 2023-11-252评论
AnQuanKeInfo 利用Script Gadget进行CSP绕过 作为现代社会的核心技术之一,Web深刻地改变了人与人和数据交互的方式。 Web上最严重的攻击之一是跨站点脚本(XSS),攻击者可以在该脚本中将其恶意JavaSc 2023-11-250评论
AnQuanKeInfo ysoserial魔改系列-Fuzzing SUID 0x00 前言 在这次护网时就已产生了魔改ysoserial的想法, 原因是其本身自携带了许多的反序列化Gadgget,并且frohoff也在内部适配了许多的U 2023-11-242评论
4HOU_新闻 谷歌发起“Operation Rosehub”,为数千开源项目打补丁 去年,谷歌员工发起了一项活动,帮助成千上万的开源项目修补广泛运用于Apache Commons Collections (ACC)中的一个远程代码执行漏洞。该活 2023-11-241评论
AnQuanKeInfo 反序列化入口PriorityQueue分析及相关Gadget总结 一、前言 最近分析了下Weblogic CVE-2020-14654和CVE-2020-14841的Gadget,里面都用到了PriorityQueue作为入口 2023-11-242评论
AnQuanKeInfo Java反序列化和集合之间的渊源 0x01 前言 从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一 2023-11-240评论
AnQuanKeInfo 上海市大学生大赛 Writeup WebEzgadget import com.ezgame.ctf.tools.ToStringBean; import com.sun.corba.se.sp 2023-11-241评论
AnQuanKeInfo URLDNS Gadget分析 前言 URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不 2023-11-240评论
AnQuanKeInfo Java安全攻防之从wsProxy到AbstractTranslet 本文主要是围绕在Java反序列化利用过程中,默认使用 ysoserial 带来的一些问题和局限性。通对代码的二次改造,最终能完成序列化数据的体积的减少和Webs 2023-11-241评论
AnQuanKeInfo ARM 架构—探究绕过NX的一种方式Ret2ZP ZONE.CI 全球网:0x01 前言 ARM 指令集架构,常用于嵌入式设备和智能手机中,是从RISC衍生而来的。并且ARM处理器几乎出现在所有的流行智能手机中,包括IOS、Android、Windo 2023-11-130评论
AnQuanKeInfo 《Counterfeit Object-oriented Programming》 论文笔记 ZONE.CI 全球网:一、简介 现阶段,ROP (面向返回的编程技术) 已经成为了一种非常流行的利用手法,同时现在也存在各种方式来保护程序免受 ROP 工具,例如 shadow stack 技术。而 2023-11-134评论