WordPress 图片优化和压缩插件:Smush 优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm 05-04 690 0
判断 WordPress 文章中有特定短代码时加载脚本 短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本 05-04 493 0
AnQuanKeInfo Java反序列化利用链分析之CommonsCollections5,6,7,9,10 0x00 前言 本文继续分析CommonsCollections:3.1的相关反序列化利用链,这次主要分析CommonsCollections5,6,7,9,以 2023-11-300评论
AnQuanKeInfo Shiro 721 Padding Oracle攻击漏洞分析 前言 前不久刚分析完Shiro 550的漏洞,后面@wh1t3Pig告诉我Shiro十月份又出了一个安全公告,等级是Critical https://issue 2023-11-300评论
AnQuanKeInfo Java反序列化利用链分析之CommonsCollections2,4,8 0x00 前言 前面几篇文章,分析了CommonsCollections:3.2.1版本以下存在的反序列化链。今天将继续分析CommonsCollections 2023-11-303评论
AnQuanKeInfo Java反序列化利用链分析之Shiro反序列化 0x00 前言 在跟了一遍commons-collections系列的payload后,终于可以开始解决一下当时对shiro反序列化模凌两可的认识了。 当前,不 2023-11-301评论
AnQuanKeInfo 谈谈log4j的反序列化 0x01 前言 最近不是爆出了一个log4j的反序列化吗,巧的是我正好在总结java反序列化的知识,其实一开始是没太关注这个漏洞的,毕竟,log4j只是一个组件 2023-11-302评论
AnQuanKeInfo JAVA反序列化-ysoserial-URLDNS 前言 推荐阅读时间:15min 内容-基础向:在IDEA中JAR的三种调试方式 Ysoserial工具中URLDNS模块的原理分析 POC代码以及Ysoseri 2023-11-301评论
AnQuanKeInfo 谈谈log4j的反序列化 0x01 前言 最近不是爆出了一个log4j的反序列化吗,巧的是我正好在总结java反序列化的知识,其实一开始是没太关注这个漏洞的,毕竟,log4j只是一个组件 2023-11-301评论
AnQuanKeInfo 教你一步一步构造CVE-2020-2555 POC 1、前言 欸欸欸,不想写论文,起床发现https://www.zerodayinitiative.com/blog/2020/3/5/cve-2020-2555 2023-11-302评论
AnQuanKeInfo JAVA反序列化-ysoserial-URLDNS 前言 推荐阅读时间:15min 内容-基础向:在IDEA中JAR的三种调试方式 Ysoserial工具中URLDNS模块的原理分析 POC代码以及Ysoseri 2023-11-302评论
AnQuanKeInfo JAVA代码审计系列之反序列化入门(二) JAVA代码审计系列之反序列化入门(二) 0x0 系列目录 Java代码审计之入门篇(一)0x1 前言 JAVA的反序列化应该是JAVA WEB里面非常重要的一 2023-11-304评论
AnQuanKeInfo JAVA RMI反序列化知识详解 一、前言 在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制。二、RMI简介 2023-11-305评论
AnQuanKeInfo JAVA RMI反序列化知识详解 一、前言 在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制。二、RMI简介 2023-11-303评论
AnQuanKeInfo shiro新姿势:初探xray高级版shiro插件 0x00 前言 上周五,xray社区公众号发布xray高级版更新公告,新增 shiro 插件,shiro 漏洞一键检测。文章链接(点我) 上图来源于微信公众号文 2023-11-303评论
AnQuanKeInfo Java反序列化之与JDK版本无关的利用链挖掘 一、前言: 总感觉年纪大了,脑子不好使,看过的东西很容易就忘了,最近两天又重新看了下java反序列化漏洞利用链相关技术,并尝试寻找新的利用链,最后找到commo 2023-11-292评论
AnQuanKeInfo 如何高效的挖掘Java反序列化利用链? 前言 Java反序列化利用链一直都是国内外研究热点之一,但当前自动化方案gadgetinspector的效果并不好。所以目前多数师傅仍然是以人工+自研小工具的方 2023-11-293评论
AnQuanKeInfo 从TemplatesImpl类Gadget中提取bytecode 作者:fnmsd@360云安全 大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)前言 在Java反序列化的gadget中,有很多使用可反序列化Te 2023-11-291评论
AnQuanKeInfo 前尘——与君再忆CC链 前言 每次提到Java反序列化,我始终都能在脑海中浮现commons-collections,这一个能助开发从业者轻松开发的依赖,使人爱也萧何恨也萧何。今日与君 2023-11-292评论
AnQuanKeInfo 前尘——与君再忆CC链 前言 每次提到Java反序列化,我始终都能在脑海中浮现commons-collections,这一个能助开发从业者轻松开发的依赖,使人爱也萧何恨也萧何。今日与君 2023-11-290评论
AnQuanKeInfo Dubbo反序列化漏洞详细分析 0x00 前言 关于Java反序列化的漏洞已经分析了几个,这次再利用Commons-Collections利用链来分析一下去年Dubbo的反序列化漏洞,同样也是 2023-11-251评论
AnQuanKeInfo Java反序列化机制拒绝服务的利用与防御 作者:fnmsd@360云安全 前言 前段时间翻ObjectInputStream代码,发现一处可以利用手工构造的序列化数据来虚耗的问题,以为可以加个CVE了。 2023-11-251评论
AnQuanKeInfo 前尘——与君再忆CC链 前言 每次提到Java反序列化,我始终都能在脑海中浮现commons-collections,这一个能助开发从业者轻松开发的依赖,使人爱也萧何恨也萧何。今日与君 2023-11-253评论
AnQuanKeInfo 前尘——数据连接池下的至暗之处 前言 这是分析Java反序列化系列的第四篇文章,内容的填充度已经过半。此系列的每一篇文章 都会对漏洞产生的原因进行剖析,理解事物的原理往往在攻击时发挥奇效。 C 2023-11-251评论
AnQuanKeInfo 前尘——返回执行结果的回显链 前言 在前些章讲到的Java反序列化中,命令的执行结果需要返回给用户。常用的返回方式有很多,如携带信息的dnslog,或者将执行结果输入到web目录访问查看等等 2023-11-240评论
AnQuanKeInfo 说说JAVA反序列化 JAVA 是我国开发者广泛使用的开发语言,在金融行业使用尤为突出。实战中,利用 Java 反序列化实现远程命令执行的案例增长趋势明显,同时,WebLogic、 2023-11-244评论