WordPress 图片优化和压缩插件:Smush 优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm 05-04 672 0
判断 WordPress 文章中有特定短代码时加载脚本 短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本 05-04 482 0
AnQuanKeInfo Pgsql堆叠注入场景下通过`CREATE FUNCTION`来实现命令执行 2. 前言 在本篇文章中我将分享如何在PostgreSQL堆叠注入场景中通过CREATE FUNCTION关键字来实现命令执行的思路。 简要信息如下:CVE:N 2023-11-291评论
AnQuanKeInfo Yii2框架Gii模块 RCE 分析 利用周末时间分析了Yii2框架的一个RCE漏洞,利用了框架可以写PHP模板的功能,控制写入的内容为恶意代码,实现对指定的文件写入php 命令执行语句,调用PHP 2023-11-291评论
AnQuanKeInfo 攻防演练中防守方的骚姿势 数据外带类 类型描述 攻击方在对一个目标进行攻击时,会有一些漏洞探测的动作。当遇到没有回显的命令执行和注入时,会采用结合dnslog的方式。 命令执行:ping 2023-11-292评论
AnQuanKeInfo Weblogic未授权访问及命令执行分析复现(CVE-2020-14882/14883) 一、背景 漏洞概述: WebLogic是美国Oracle公司的主要产品之一,是商业市场上主要的 J2EE 应用服务器软件,也是世界上第一个成功商业化的J2EE应 2023-11-290评论
AnQuanKeInfo 命令执行底层原理探究-PHP(一) 前言 针对不同平台/语言下的命令执行是不相同的,存在很大的差异性。因此,这里对不同平台/语言下的命令执行函数进行深入的探究分析。 文章开头会对不同平台(Linu 2023-11-294评论
AnQuanKeInfo 命令执行底层原理探究-PHP(二) 前言 针对不同平台/语言下的命令执行是不相同的,存在很大的差异性。因此,这里对不同平台/语言下的命令执行函数进行深入的探究分析。 文章开头会对不同平台(Linu 2023-11-291评论
AnQuanKeInfo 命令执行底层原理探究-PHP(三) 前言 针对不同平台/语言下的命令执行是不相同的,存在很大的差异性。因此,这里对不同平台/语言下的命令执行函数进行深入的探究分析。 文章开头会对不同平台(Linu 2023-11-296评论
AnQuanKeInfo 命令执行底层原理探究-PHP(四) 前言 针对不同平台/语言下的命令执行是不相同的,存在很大的差异性。因此,这里对不同平台/语言下的命令执行函数进行深入的探究分析。 文章开头会对不同平台(Linu 2023-11-293评论
AnQuanKeInfo ysoserial CommonsCollections2 详细分析 上篇文章详细分析了CommonsCollections1利用链的基础技术和构造,本节继续学习CC2链的构造和利用,将会涉及到新的知识点和反序列化知识。CC2链构 2023-11-291评论
AnQuanKeInfo sudo提权(CVE-2021–3156):从堆溢出到命令执行的最后亿步 1 漏洞说明 参考链接:官方说明官方说明txt版本CVE-2021-3156 sudo漏洞分析与利用CVE-2021-3156 sudo 提权漏洞复现与分析Ex 2023-11-291评论
AnQuanKeInfo ysoserial CommonsCollections5/6 详细分析 CC5 、CC6 链利用了新的反序列化触发点,命令执行为CC1的利用方式,作者换了两个反序列化入口方法。同时又引出了Java HashMap和HashSet等利 2023-11-292评论
AnQuanKeInfo ysoserial CommonsCollections2 详细分析 上篇文章详细分析了CommonsCollections1利用链的基础技术和构造,本节继续学习CC2链的构造和利用,将会涉及到新的知识点和反序列化知识。CC2链构 2023-11-292评论
AnQuanKeInfo sudo提权(CVE-2021–3156):从堆溢出到命令执行的最后亿步 1 漏洞说明 参考链接:官方说明官方说明txt版本CVE-2021-3156 sudo漏洞分析与利用CVE-2021-3156 sudo 提权漏洞复现与分析Ex 2023-11-294评论
AnQuanKeInfo 从TemplatesImpl类Gadget中提取bytecode 作者:fnmsd@360云安全 大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)前言 在Java反序列化的gadget中,有很多使用可反序列化Te 2023-11-290评论
AnQuanKeInfo ysoserial CommonsCollections5/6 详细分析 CC5 、CC6 链利用了新的反序列化触发点,命令执行为CC1的利用方式,作者换了两个反序列化入口方法。同时又引出了Java HashMap和HashSet等利 2023-11-290评论
AnQuanKeInfo Mssql手工注入执行命令小记 前言 本次渗透通过某处SQL注入点进行源码分析,并手工利用xp_cmdshell进行了命令执行。初现 在某个晴朗夏日午后,闲来无事想测试,这不,马上就掏出xra 2023-11-251评论
AnQuanKeInfo 从零带你看struts2中ognl命令执行漏洞 hi!! 新面孔打个招呼~最近花了蛮长时间看 Struts2 的漏洞,可能某些安全研究人员(像我)会选择 Struts2 作为入手 java 研究的第一个框架, 2023-11-254评论
AnQuanKeInfo Java 命令执行之我见 前言 Java 代码审计当中,关于命令执行,我们主要关注的是函数 Runtime.getRuntime().exec(command) && new Proce 2023-11-240评论
AnQuanKeInfo 由JDK7u21反序列化漏洞引起的对TemplatesImpl的深入学习 最近在分析JDK7u21反序列化漏洞,对命令执行载体com.sun.org.apache.xalan.internal.xsltc.trax.Templates 2023-11-241评论
AnQuanKeInfo 基于Linux连接器的审计进程事件实现方案 1 引言 主机安全是信息安全纵深防御体系中最贴近业务的安全组件,离得近,看得清,能够及时感知入侵行为。攻击者的绝大多数攻击行为都是以进程的方式呈现,攻击者执行命 2023-11-241评论
AnQuanKeInfo URLDNS Gadget分析 前言 URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不 2023-11-240评论
AnQuanKeInfo Java安全攻防之从wsProxy到AbstractTranslet 本文主要是围绕在Java反序列化利用过程中,默认使用 ysoserial 带来的一些问题和局限性。通对代码的二次改造,最终能完成序列化数据的体积的减少和Webs 2023-11-241评论
AnQuanKeInfo Antenna开源!挖掘白帽子的最深需求! 前言-挖掘漏洞前需要准备多少种工具? 这个疑问产生于作者在审核平台某漏洞报告的过程中,发现报告中为证明某漏洞存在,用到了多种工具及平台。带着这个疑问,作者分析平 2023-11-244评论
AnQuanKeInfo PostgreSQL 高权限命令执行 (CVE-2019-9193)漏洞复现&实战 漏洞简介 postgreSQL是一个功能强大对象关系数据库管理系统。由于9.3增加一个“COPY TO/FROM PROGRAM”功能。这个功能就是允许数据库的 2023-11-240评论
AnQuanKeInfo SUPER站群命令执行之官方审核 简介 Super站群原来是我们内部自己开发使用的一套程序,后来看到很多人有相似的需求,团队决定发布出来免费开源给大家使用。 桂林思与云文化传媒有限公司Super 2023-11-240评论