当前位置:

  • Jenkins拿shell方法

    Jenkins拿shell方法
    最近一直在学习怎么利用jenkins反序列化,妹的,就是没有一个顺手的GUI工具,能让我直接秒杀服务器。 楼下的小伙伴有好的工具,请给我留言,我要秒了我们公司的jenkins服务器,多谢。。。。 关于反序列化的问题,如果不懂java就是苦逼,小弟我就是这样的苦...
    作者:独自等待 | 发布:2016年6月03日 | 分类: 渗透测试 | 踩踏:18,392次 | 评论:1条
  • ImageMagick POC及利用方法

    ImageMagick POC及利用方法
    之前本站发布了imagemagic的 安全预警,里面只有imagemagick的检测代码,没有详细的利用方式,现在附一个简单的poc给大家测试。 1、关于如何查找服务器是否支持imagemagic的问题。 直接查看服务器是否存在phpinfo文件,查看是否支持imagemagick组件。 直接...
    作者:独自等待 | 发布:2016年5月10日 | 分类: 渗透测试 | 踩踏:9,302次 | 评论:抢沙发
    标签:,
  • Struts2 S2–032远程代码执行分析

    Struts2 S2–032远程代码执行分析
    1. 介绍 Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业...
    作者:独自等待 | 发布:2016年4月27日 | 分类: 渗透测试 | 踩踏:5,480次 | 评论:抢沙发
  • 手机银行https证书有效性验证引发的安全问题

    手机银行https证书有效性验证引发的安全问题
    前言: 在实际项目代码审计中发现,目前很多手机银行虽然使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息。 手机银行开发人员在开发过程中为了解决...
    作者:独自等待 | 发布:2016年4月26日 | 分类: 代码审计 | 踩踏:6,899次 | 评论:抢沙发