WordPress 图片优化和压缩插件:Smush 优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm 05-04 689 0
判断 WordPress 文章中有特定短代码时加载脚本 短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本 05-04 493 0
AnQuanKeInfo 前尘——与君再忆CC链 前言 每次提到Java反序列化,我始终都能在脑海中浮现commons-collections,这一个能助开发从业者轻松开发的依赖,使人爱也萧何恨也萧何。今日与君 2023-11-253评论
AnQuanKeInfo 前尘——三层架构粘合剂的爱恨情愁 前言 Web后端开发的历史长河中,从JSP,Servlet到SSH(Hibernate,Spring,Struts2)再到SSM(Mybatis,Spring, 2023-11-253评论
AnQuanKeInfo 新的反序列化链——Click1 前段时间ysoserial又更新了一个链Click1,网上好像一直没人分析,最近在学习java,就稍微分析下。 一、 利用代码 Click1依赖click-no 2023-11-250评论
AnQuanKeInfo WebLogic T3协议反序列化 0day 漏洞分析 0x01 WebLogic T3 简介及漏洞背景 weblogic t3协议指的是weblogic的rmi使用的t3协议,在java rmi中,默认rmi使用的 2023-11-251评论
AnQuanKeInfo 前尘——数据连接池下的至暗之处 前言 这是分析Java反序列化系列的第四篇文章,内容的填充度已经过半。此系列的每一篇文章 都会对漏洞产生的原因进行剖析,理解事物的原理往往在攻击时发挥奇效。 C 2023-11-251评论
AnQuanKeInfo ysoserial魔改系列-Fuzzing SUID 0x00 前言 在这次护网时就已产生了魔改ysoserial的想法, 原因是其本身自携带了许多的反序列化Gadgget,并且frohoff也在内部适配了许多的U 2023-11-243评论
AnQuanKeInfo PWN掉一款小型开源OS——用户态利用 题目来源于DefCon Quals 2021的coooinbase二连pwn,第一部分是用户空间利用,第二部分是内核利用。本篇文章是coooinbase用户态p 2023-11-240评论
AnQuanKeInfo shiro550漏洞复现与研究 前言:就像雨总会停,雾总会散,同样地没有谁会一直失败。一、漏洞描述 1.shiro概述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授 2023-11-246评论
AnQuanKeInfo CVE-2017-7504 Jboss反序列化浅析 一、原理(一)概述 在JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPSer 2023-11-245评论
AnQuanKeInfo CVE-2021-35464 漏洞分析:ForgeRock OpenAM 中的预认证 RCE 0x00 前述 2021 年 6 月 29 日,安全研究员 Michael Stepankin 发布了CVE-2021-35464,这是 ForgeRock访问 2023-11-243评论
AnQuanKeInfo 浅谈PHP原生类反序列化 引言 在CTF中反序列化类型的题目还是比较常见的,之前有学习过简单的反序列化,以及简单pop链的构造。这次学习内容为php内置的原生类的反序列化以及一点进阶知识 2023-11-245评论
AnQuanKeInfo 梨子带你刷burpsuite靶场系列之高级漏洞篇 - 不安全的反序列化专题 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院 2023-11-242评论
AnQuanKeInfo WebLogic CVE-2021-2135分析及POC构造遇到的问题 一、前言 早在今年4月 Weblogic发布了安全公告,里面有一个编号是CVE-2021-2135的反序列化漏洞,因为工作原因需要构造该漏洞POC,当时拿到了安 2023-11-241评论
AnQuanKeInfo 梨子带你刷burpsuite靶场系列之高级漏洞篇 - 不安全的反序列化专题 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院 2023-11-240评论
AnQuanKeInfo Weblogic CVE-2021-2394 反序列化漏洞分析 0x01 漏洞简介 根据漏洞作者描述,这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕 2023-11-242评论
AnQuanKeInfo Java安全之ysoserial-URLDNS链分析 0x00 写在前面 Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过read 2023-11-241评论
AnQuanKeInfo SpringBoot-Actuator-SnakeYAML-RCE漏洞深度分析 前言 近期搬砖过程中又遇到actuator组件开放的情况,且env端点发现存在SnakeYAML依赖,为判断能否通过此问题进一步深入到内部,尝试借用SnakeY 2023-11-243评论
AnQuanKeInfo Weblogic CVE-2021-2394 反序列化漏洞分析 0x01 漏洞简介 根据漏洞作者描述,这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕 2023-11-242评论
AnQuanKeInfo 浅谈 CTF-Web 中常见的 Python 题型与解题姿势 前言 打 CTF 已经有一段时间了,今天在就此总结一下 CTF-Web 中常见的 Python 题型与解题姿势。Flask Jinja2 SSTI 这一块没什么 2023-11-242评论
AnQuanKeInfo 说说JAVA反序列化 JAVA 是我国开发者广泛使用的开发语言,在金融行业使用尤为突出。实战中,利用 Java 反序列化实现远程命令执行的案例增长趋势明显,同时,WebLogic、 2023-11-244评论
AnQuanKeInfo Java反序列化和集合之间的渊源 0x01 前言 从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一 2023-11-240评论
AnQuanKeInfo 忆——Weblogic CVE-2016-0638反序列化漏洞 开始着手对Weblogic历史漏洞进行剖析,周末分析了Weblogic历史上的严重漏洞,一次针对CVE-2015-4852漏洞的补丁绕过。原理虽然简单,但是时间 2023-11-241评论
AnQuanKeInfo Java安全之ysoserial-URLDNS链分析 0x00 写在前面 Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过read 2023-11-245评论
AnQuanKeInfo PHP序列化冷知识 0x01 serialize(unserialize($x)) != $x 正常来说一个合法的反序列化字符串,在二次序列化也即反序列化再序列化之后所得到的结果是 2023-11-242评论
AnQuanKeInfo 初识——Weblogic CVE-2016-3510反序列化漏洞 0x01 漏洞背景 在CVE-2016-0638 漏洞修补之后,安全研究者又发现了其他类似的补丁绕过思路,通过新创建的ObjectInputStream对象进行 2023-11-241评论