优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm
05-04
684
0
WordPress 图片优化和压缩插件:Smush
05-04
684
0
推荐阅读
05-04
684
0
推荐阅读
判断 WordPress 文章中有特定短代码时加载脚本
短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本
05-04
488
0
专题
(1)篇
WordPress 实用代码
WordPress 实用代码
专题
(0)篇
WordPress 插件
WordPress 插件
专题
(0)篇
Web前端
Web前端
专题
(0)篇
WordPress 常见问题
WordPress 常见问题
AnQuanKeInfo
SpringBoot-Actuator-SnakeYAML-RCE漏洞深度分析
前言
近期搬砖过程中又遇到actuator组件开放的情况,且env端点发现存在SnakeYAML依赖,为判断能否通过此问题进一步深入到内部,尝试借用SnakeY
近期搬砖过程中又遇到actuator组件开放的情况,且env端点发现存在SnakeYAML依赖,为判断能否通过此问题进一步深入到内部,尝试借用SnakeY
2023-11-247评论
AnQuanKeInfo
Laravel反序列化漏洞学习及再挖掘
前言
做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子
做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子
2023-11-243评论
AnQuanKeInfo
Exchange漏洞分析(二):反序列化代码执行漏洞(CVE-2021–42321)
作者:雨夜
0x00前言
微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC
0x00前言
微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC
2023-11-241评论
AnQuanKeInfo
Laravel反序列化漏洞学习及再挖掘
前言
做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子
做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子
2023-11-243评论
AnQuanKeInfo
Exchange漏洞分析(二):反序列化代码执行漏洞(CVE-2021–42321)
作者:雨夜
0x00前言
微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC
0x00前言
微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC
2023-11-240评论
AnQuanKeInfo
Java安全之Dubbo反序列化漏洞分析
0x00 前言
最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。0x01 Dubbo概述
Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一
最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。0x01 Dubbo概述
Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一
2023-11-240评论
AnQuanKeInfo
.NET序列化学习之XmlSerializer
.NET XmlSerializer
结构化XML数据映射为.NET对象,XmlSerializer 类的程序中通过单个API 调用来执行XML文档和对象之间
结构化XML数据映射为.NET对象,XmlSerializer 类的程序中通过单个API 调用来执行XML文档和对象之间
2023-11-240评论
AnQuanKeInfo
一文回顾攻击Java RMI方式
前序
RMI存在着三个主体RMI Registry
RMI Client
RMI Server而对于这三个主体其实都可以攻击,当然了需要根据jdk版本以及环境寻
RMI存在着三个主体RMI Registry
RMI Client
RMI Server而对于这三个主体其实都可以攻击,当然了需要根据jdk版本以及环境寻
2023-11-243评论
AnQuanKeInfo
Dubbo-CVE-2020-1948
APache Dubbo简介
Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是
Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是
2023-11-245评论
AnQuanKeInfo
URLDNS Gadget分析
前言
URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不
URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不
2023-11-241评论
AnQuanKeInfo
初识Java反序列化
前言
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。
大致内容如下:序列化和反序列化示例
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。
大致内容如下:序列化和反序列化示例
2023-11-243评论
AnQuanKeInfo
Java安全攻防之从wsProxy到AbstractTranslet
本文主要是围绕在Java反序列化利用过程中,默认使用 ysoserial 带来的一些问题和局限性。通对代码的二次改造,最终能完成序列化数据的体积的减少和Webs
2023-11-242评论
AnQuanKeInfo
gRPC 介绍及 Go gRPC 入门教程
介绍gRPC 是开源的远程过程调用(RPC)框架,可在任何环境运行。使用 gRPC 可以有效地连接数据中心内和跨数据中心的服务,gRPC 具有可插拔的负载均衡、追踪、健康检查和身份验证支持。它也适用于
2023-11-233评论
AnQuanKeInfo
CVE-2017-7504 Jboss反序列化浅析
ZONE.CI 全球网:一、原理(一)概述
在JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILSer
在JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILSer
2023-11-133评论
AnQuanKeInfo
CVE-2021-35464 漏洞分析:ForgeRock OpenAM 中的预认证 RCE
ZONE.CI 全球网:0x00 前述
2021 年 6 月 29 日,安全研究员 Michael Stepankin 发布了CVE-2021-35464,这是 ForgeRock访问管理器身份和访问
2021 年 6 月 29 日,安全研究员 Michael Stepankin 发布了CVE-2021-35464,这是 ForgeRock访问管理器身份和访问
2023-11-130评论
AnQuanKeInfo
浅谈PHP原生类反序列化
ZONE.CI 全球网:引言
在CTF中反序列化类型的题目还是比较常见的,之前有学习过简单的反序列化,以及简单pop链的构造。这次学习内容为php内置的原生类的反序列化以及一点进阶知识。
在题目给的的
在CTF中反序列化类型的题目还是比较常见的,之前有学习过简单的反序列化,以及简单pop链的构造。这次学习内容为php内置的原生类的反序列化以及一点进阶知识。
在题目给的的
2023-11-134评论
AnQuanKeInfo
WebLogic CVE-2021-2135分析及POC构造遇到的问题
ZONE.CI 全球网:一、前言
早在今年4月 Weblogic发布了安全公告,里面有一个编号是CVE-2021-2135的反序列化漏洞,因为工作原因需要构造该漏洞POC,当时拿到了安全补丁,但是奈何
早在今年4月 Weblogic发布了安全公告,里面有一个编号是CVE-2021-2135的反序列化漏洞,因为工作原因需要构造该漏洞POC,当时拿到了安全补丁,但是奈何
2023-11-130评论
AnQuanKeInfo
梨子带你刷burpsuite靶场系列之高级漏洞篇 - 不安全的反序列化专题
ZONE.CI 全球网:本系列介绍
PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),
PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),
2023-11-131评论
AnQuanKeInfo
Weblogic CVE-2021-2394 反序列化漏洞分析
ZONE.CI 全球网:0x01 漏洞简介
根据漏洞作者描述,这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogi
根据漏洞作者描述,这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogi
2023-11-131评论
AnQuanKeInfo
浅谈 CTF-Web 中常见的 Python 题型与解题姿势
ZONE.CI 全球网:前言
打 CTF 已经有一段时间了,今天在就此总结一下 CTF-Web 中常见的 Python 题型与解题姿势。Flask Jinja2 SSTI
这一块没什么好说的了,网上关
打 CTF 已经有一段时间了,今天在就此总结一下 CTF-Web 中常见的 Python 题型与解题姿势。Flask Jinja2 SSTI
这一块没什么好说的了,网上关
2023-11-132评论
AnQuanKeInfo
说说JAVA反序列化
ZONE.CI 全球网:JAVA 是我国开发者广泛使用的开发语言,在金融行业使用尤为突出。实战中,利用 Java 反序列化实现远程命令执行的案例增长趋势明显,同时,WebLogic、 WebSpher
2023-11-130评论
AnQuanKeInfo
Java反序列化和集合之间的渊源
ZONE.CI 全球网:0x01 前言
从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一下,所以有了本篇
从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一下,所以有了本篇
2023-11-134评论
AnQuanKeInfo
忆——Weblogic CVE-2016-0638反序列化漏洞
ZONE.CI 全球网:开始着手对Weblogic历史漏洞进行剖析,周末分析了Weblogic历史上的严重漏洞,一次针对CVE-2015-4852漏洞的补丁绕过。原理虽然简单,但是时间太过久远,一些关
2023-11-130评论
AnQuanKeInfo
Java安全之ysoserial-URLDNS链分析
ZONE.CI 全球网:0x00 写在前面
Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过readObject()
Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过readObject()
2023-11-131评论
AnQuanKeInfo
PHP序列化冷知识
ZONE.CI 全球网:0x01 serialize(unserialize($x)) != $x
正常来说一个合法的反序列化字符串,在二次序列化也即反序列化再序列化之后所得到的结果是一致的。
比如
正常来说一个合法的反序列化字符串,在二次序列化也即反序列化再序列化之后所得到的结果是一致的。
比如
2023-11-130评论