WordPress 图片优化和压缩插件:Smush 优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm 05-04 684 0
判断 WordPress 文章中有特定短代码时加载脚本 短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本 05-04 488 0
AnQuanKeInfo ysoserial CommonsBeanutils1 & Click1 详细分析 ZONE.CI 全球网:CommonsBeanutils1 是一条比较古老的反序列化利用链,今年出的新利用链Apache Click1与之非常相似,同时填补在上篇文章中留的坑,解决openAM反序列化 2023-11-132评论
AnQuanKeInfo WebLogic CVE-2021-2394 RCE 漏洞分析 ZONE.CI 全球网:漏洞简述 2021年3月15日墨云安全V-Lab实验室向Oracle官方报告了Weblogic Server RCE漏洞,2021年7月21日Oracle发布了致谢信息。 这是 2023-11-135评论
AnQuanKeInfo Weblogic Coherence 组件漏洞总结分析 ZONE.CI 全球网:作者:白帽汇安全研究院@kejaly 校对:白帽汇安全研究院@r4v3zn 前言 Coherence 组件是 WebLogic 中的一个核心组件,内置在 WebLogic 中。 2023-11-131评论
AnQuanKeInfo Weblogic CVE-2021-2394 分析 ZONE.CI 全球网:作者:白帽汇安全研究院@kejaly 校对:白帽汇安全研究院@r4v3zn 前言 在2021年7月21日,Oracle官方 发布了一系列安全更新。涉及旗下产品(Weblogic 2023-11-131评论
AnQuanKeInfo MITRE Engage对手交战知识库 ZONE.CI 全球网:MITRE Engage出现的历史背景 十年前,MITRE在处理一起APT事件时,由于对攻击者的运作了解甚少,因此当时他们做出两个重要的决定。首先,就是学习与观察,到了足够了解 2023-11-133评论
AnQuanKeInfo thinkphp5.0.*反序列化链分析(5.0全版本覆盖) ZONE.CI 全球网:在一次渗透测试中遇到了一个基于Thinkphp5.0.10的站,站点具有非常多的disabled function(phpinfo和scandir等常见函数也在里面),最终想到 2023-11-131评论
AnQuanKeInfo Java安全之ysoserial-URLDNS链分析 ZONE.CI 全球网:0x00 写在前面 Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过readObject() 2023-11-131评论
AnQuanKeInfo ysoserial系列-Commons-Collections1链分析 ZONE.CI 全球网:前言 在之前的文章中已经分析了ysoserial中 URLDNS 链,有兴趣的师傅可以阅读一下。但是这条链子也只是 Java 反序列化学习的开胃菜,接下来的 Commons-C 2023-11-1310评论
AnQuanKeInfo 蓝帽杯-final WEB题解 ZONE.CI 全球网:ImageCheck 题目是一个codeigniter4的框架,既然是一个MVC框架,因此我们首先先看upload和check的controller对文件进行过滤,并且要求文件 2023-11-133评论
AnQuanKeInfo ARL 灯塔资产管理系统 三 ZONE.CI 全球网:前言 接上一期,这次来记录一下对于资产收集模块的二开过程。 先说一下大概思路,针对域名收集,主要就是把oneforall给集成到ARL中。如果都预留了接口,当然就不用写一篇文章 2023-11-130评论
AnQuanKeInfo 前尘——返回执行结果的回显链 ZONE.CI 全球网:前言 在前些章讲到的Java反序列化中,命令的执行结果需要返回给用户。常用的返回方式有很多,如携带信息的dnslog,或者将执行结果输入到web目录访问查看等等。但是这些回显方 2023-11-132评论
AnQuanKeInfo CodeQL从0到1(内附Shiro检测demo) ZONE.CI 全球网:本文会先介绍CodeQL是什么,基本语法和用法,最后是我在编写shiro反序列化漏洞提取规则的过程中遇到的问题,按照这三步来介绍CodeQL的使用方法。CodeQL介绍 Cod 2023-11-131评论
AnQuanKeInfo Yii2反序列化漏洞复现 ZONE.CI 全球网:前言 最近复现比赛的时候碰到了挺多和 Yii2 相关的反序列化链子的题目,学习的过程中跟着已有的链子进行了分析,同时跟着思路自己也尝试拓宽了一下链子的数量,在这里正好对此类链子 2023-11-134评论
AnQuanKeInfo RMI-攻击方式总结 ZONE.CI 全球网:RMI,是Remote Method Invocation(远程方法调用)的缩写,即在一个JVM中java程序调用在另一个远程JVM中运行的java程序,这个远程JVM既可以在 2023-11-131评论
AnQuanKeInfo Laravel反序列化漏洞学习及再挖掘 ZONE.CI 全球网:前言 做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子挖掘方式。前置知 2023-11-134评论
AnQuanKeInfo java反序列化之Commons Collections分析(一) ZONE.CI 全球网:前言 在学习java反序列化的过程中,Commons Collections几乎是反序列化学习中无法绕过的一关。也是各大ctf和awd的常见考点, 作为java代码审计的重要一 2023-11-133评论
AnQuanKeInfo thinkphp6.0x反序列化复现及再挖掘 ZONE.CI 全球网:环境搭建 复现环境:thinkphp6.0.1 php:7.3.4 thinkphp6只能通过composer安装还不能安装旧版本可以到这里去下载 https://www.js 2023-11-130评论
AnQuanKeInfo RMI-JEP290的分析与绕过 ZONE.CI 全球网:JEP290是Java官方提供的一套来防御反序列化的机制,其核心在于提供了一个ObjectInputFilter接口,通过设置filter对象,然后在反序列化(ObjectIn 2023-11-130评论
AnQuanKeInfo Struts2 漏洞分析系列 - S2-001/初识OGNL ZONE.CI 全球网:0x00 漏洞概述 S2-001的漏洞原理是模板文件(JSP)中引用了不合适的标签进行渲染,并且渲染的值是用户可控的,此时则达成了表达式注入的目的。 我看网上很多文章都很费劲, 2023-11-130评论
AnQuanKeInfo ThinkPHP6.x 漏洞复现 ZONE.CI 全球网:任意文件创建漏洞漏洞环境将 tp/app/controller/Index.php 内容修改为<?php namespace app\controller;use app\Ba 2023-11-131评论
AnQuanKeInfo CVE-2021-22205 GitLab RCE之未授权访问深入分析(一) ZONE.CI 全球网:前言 安全研究员vakzz于4月7日在hackerone上提交了一个关于gitlab的RCE漏洞,在当时并没有提及是否需要登录gitlab进行授权利用,在10月25日该漏洞被国 2023-11-132评论
AnQuanKeInfo 深入浅出内存马(一) ZONE.CI 全球网:0x01 简述 Webshell技术历程 在Web安全领域,Webshell一直是一个非常重要且热门的话题。在目前传统安全领域,Webshell根据功能的不同分为三种类型,分别 2023-11-132评论
AnQuanKeInfo Apache Shiro 反序列化漏洞原理详解 ZONE.CI 全球网:Apache shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松 2023-11-132评论
AnQuanKeInfo .NET序列化学习之XmlSerializer ZONE.CI 全球网:.NET XmlSerializer 结构化XML数据映射为.NET对象,XmlSerializer 类的程序中通过单个API 调用来执行XML文档和对象之间的转换,转换后会 2023-11-132评论
AnQuanKeInfo Apache Unomi CVE-2020-13942 MVEL利用链分析 ZONE.CI 全球网:Apache Unomi介绍 Apache Unomi具有隐私管理、用户/事件/目标跟踪、报告、访客资料管理、细分、角色、A/B测试等功能,可以作为Web CMS、个性化服务、 2023-11-130评论