WordPress 图片优化和压缩插件:Smush 优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm 05-04 689 0
判断 WordPress 文章中有特定短代码时加载脚本 短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本 05-04 493 0
AnQuanKeInfo SpringBoot-Actuator-SnakeYAML-RCE漏洞深度分析 前言 近期搬砖过程中又遇到actuator组件开放的情况,且env端点发现存在SnakeYAML依赖,为判断能否通过此问题进一步深入到内部,尝试借用SnakeY 2023-11-247评论
AnQuanKeInfo Laravel反序列化漏洞学习及再挖掘 前言 做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子 2023-11-243评论
AnQuanKeInfo Exchange漏洞分析(二):反序列化代码执行漏洞(CVE-2021–42321) 作者:雨夜 0x00前言 微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC 2023-11-241评论
AnQuanKeInfo Laravel反序列化漏洞学习及再挖掘 前言 做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子 2023-11-243评论
AnQuanKeInfo Exchange漏洞分析(二):反序列化代码执行漏洞(CVE-2021–42321) 作者:雨夜 0x00前言 微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC 2023-11-240评论
AnQuanKeInfo Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。0x01 Dubbo概述 Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一 2023-11-240评论
AnQuanKeInfo .NET序列化学习之XmlSerializer .NET XmlSerializer 结构化XML数据映射为.NET对象,XmlSerializer 类的程序中通过单个API 调用来执行XML文档和对象之间 2023-11-240评论
AnQuanKeInfo 一文回顾攻击Java RMI方式 前序 RMI存在着三个主体RMI Registry RMI Client RMI Server而对于这三个主体其实都可以攻击,当然了需要根据jdk版本以及环境寻 2023-11-243评论
AnQuanKeInfo Dubbo-CVE-2020-1948 APache Dubbo简介 Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是 2023-11-245评论
AnQuanKeInfo URLDNS Gadget分析 前言 URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不 2023-11-241评论
AnQuanKeInfo 初识Java反序列化 前言 研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。 大致内容如下:序列化和反序列化示例 2023-11-243评论
AnQuanKeInfo Java安全攻防之从wsProxy到AbstractTranslet 本文主要是围绕在Java反序列化利用过程中,默认使用 ysoserial 带来的一些问题和局限性。通对代码的二次改造,最终能完成序列化数据的体积的减少和Webs 2023-11-243评论
AnQuanKeInfo gRPC 介绍及 Go gRPC 入门教程 介绍gRPC 是开源的远程过程调用(RPC)框架,可在任何环境运行。使用 gRPC 可以有效地连接数据中心内和跨数据中心的服务,gRPC 具有可插拔的负载均衡、追踪、健康检查和身份验证支持。它也适用于 2023-11-233评论
AnQuanKeInfo CVE-2017-7504 Jboss反序列化浅析 ZONE.CI 全球网:一、原理(一)概述 在JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILSer 2023-11-133评论
AnQuanKeInfo CVE-2021-35464 漏洞分析:ForgeRock OpenAM 中的预认证 RCE ZONE.CI 全球网:0x00 前述 2021 年 6 月 29 日,安全研究员 Michael Stepankin 发布了CVE-2021-35464,这是 ForgeRock访问管理器身份和访问 2023-11-130评论
AnQuanKeInfo 浅谈PHP原生类反序列化 ZONE.CI 全球网:引言 在CTF中反序列化类型的题目还是比较常见的,之前有学习过简单的反序列化,以及简单pop链的构造。这次学习内容为php内置的原生类的反序列化以及一点进阶知识。 在题目给的的 2023-11-134评论
AnQuanKeInfo WebLogic CVE-2021-2135分析及POC构造遇到的问题 ZONE.CI 全球网:一、前言 早在今年4月 Weblogic发布了安全公告,里面有一个编号是CVE-2021-2135的反序列化漏洞,因为工作原因需要构造该漏洞POC,当时拿到了安全补丁,但是奈何 2023-11-130评论
AnQuanKeInfo 梨子带你刷burpsuite靶场系列之高级漏洞篇 - 不安全的反序列化专题 ZONE.CI 全球网:本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场), 2023-11-131评论
AnQuanKeInfo Weblogic CVE-2021-2394 反序列化漏洞分析 ZONE.CI 全球网:0x01 漏洞简介 根据漏洞作者描述,这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogi 2023-11-131评论
AnQuanKeInfo 浅谈 CTF-Web 中常见的 Python 题型与解题姿势 ZONE.CI 全球网:前言 打 CTF 已经有一段时间了,今天在就此总结一下 CTF-Web 中常见的 Python 题型与解题姿势。Flask Jinja2 SSTI 这一块没什么好说的了,网上关 2023-11-132评论
AnQuanKeInfo 说说JAVA反序列化 ZONE.CI 全球网:JAVA 是我国开发者广泛使用的开发语言,在金融行业使用尤为突出。实战中,利用 Java 反序列化实现远程命令执行的案例增长趋势明显,同时,WebLogic、 WebSpher 2023-11-130评论
AnQuanKeInfo Java反序列化和集合之间的渊源 ZONE.CI 全球网:0x01 前言 从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一下,所以有了本篇 2023-11-134评论
AnQuanKeInfo 忆——Weblogic CVE-2016-0638反序列化漏洞 ZONE.CI 全球网:开始着手对Weblogic历史漏洞进行剖析,周末分析了Weblogic历史上的严重漏洞,一次针对CVE-2015-4852漏洞的补丁绕过。原理虽然简单,但是时间太过久远,一些关 2023-11-130评论
AnQuanKeInfo Java安全之ysoserial-URLDNS链分析 ZONE.CI 全球网:0x00 写在前面 Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过readObject() 2023-11-131评论
AnQuanKeInfo PHP序列化冷知识 ZONE.CI 全球网:0x01 serialize(unserialize($x)) != $x 正常来说一个合法的反序列化字符串,在二次序列化也即反序列化再序列化之后所得到的结果是一致的。 比如 2023-11-130评论