ZONE.CI 全球网

梨子带你刷burpsuite靶场系列之服务器端漏洞篇 - 服务端请求伪造(SSRF)专题

本系列介绍
PortSwigger是信息安全从业者必备工具burpsuite的发行商，作为网络空间安全的领导者，他们为信息安全初学者提供了一个在线的网络安全学院

2023-11-241评论

浅谈PHP原生类反序列化

引言
在CTF中反序列化类型的题目还是比较常见的，之前有学习过简单的反序列化，以及简单pop链的构造。这次学习内容为php内置的原生类的反序列化以及一点进阶知识

2023-11-244评论

记一次从鸡肋SSRF到RCE的代码审计过程

作者：TheKingOfDuck@0KEE TEAM
Python标准库中用来处理HTTP相关的模块是urllib/urllib2，不过其中的API十分零碎，比

2023-11-242评论

FTP在ssrf中的应用

前言
ssrf中常用的协议有http，gopher等。但http的用处也仅限于访问内网网页，在可以crlf的情况下才有可能扩大攻击范围。gopher协议比较特殊

2023-11-243评论

实例分析 DiscuzX 3.4 SSRF漏洞

0x00 漏洞信息简介Crossday Discuz! Board（简称 Discuz!）是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自20

2023-11-244评论

浅谈云上攻防——SSRF漏洞带来的新威胁

前言
在《浅谈云上攻防——元数据服务带来的安全挑战》一文中，生动形象的为我们讲述了元数据服务所面临的一系列安全问题，而其中的问题之一就是通过SSRF去攻击元数据

2023-11-240评论

浅析PHP原生类

前言：
从2021年开始参加CTF比赛开始，就有几次遇到PHP原生类函数，自己也从来系统学习过这些类是如何使用的，但是该考点很常见，所以就来系统的学习一下。分类

2023-11-243评论

CVE-2021-22214 GITLAB SSRF 未授权漏洞

漏洞描述
GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。该程序可用于查阅项目的

2023-11-240评论

微软Azure服务缺陷可能导致云资源遭到未授权访问

四种不同的Microsoft Azure服务被发现容易受到服务器端请求伪造 (SSRF) 攻击，这些攻击可能被利用来获得对云资源的未授权访问。
这些安全问题是Orca在2022年10月8日至2022年

2023-11-232评论

RCE Lexmark打印机漏洞或已被公开利用

日前，制造商警告说，一个允许远程代码执行 (RCE) 的严重安全漏洞影响了120多种不同的Lexmark打印机型号。
据悉，该漏洞(CVE-2023-23560) 在 CVSS 漏洞严重性等级中得分为

2023-11-232评论

研究人员发现Microsoft Azure API管理服务中的3个漏洞

Microsoft Azure API管理服务中披露了三个新的安全漏洞，恶意行为者可能会滥用这些漏洞来访问敏感信息或后端服务。据以色列云安全公司 Ermetic称，这包括两个服务器端请求伪造(SSRF

2023-11-233评论

梨子带你刷burpsuite靶场系列之服务器端漏洞篇 - 服务端请求伪造(SSRF)专题

ZONE.CI 全球网:本系列介绍
PortSwigger是信息安全从业者必备工具burpsuite的发行商，作为网络空间安全的领导者，他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场)，

2023-11-130评论

记一次从鸡肋SSRF到RCE的代码审计过程

ZONE.CI 全球网:作者：TheKingOfDuck@0KEE TEAM
Python标准库中用来处理HTTP相关的模块是urllib/urllib2，不过其中的API十分零碎，比如urllib库

2023-11-131评论

浅谈云上攻防——SSRF漏洞带来的新威胁

ZONE.CI 全球网:前言
在《浅谈云上攻防——元数据服务带来的安全挑战》一文中，生动形象的为我们讲述了元数据服务所面临的一系列安全问题，而其中的问题之一就是通过SSRF去攻击元数据服务；文中列举了

2023-11-131评论

从云服务器 SSRF 漏洞到接管你的阿里云控制台

ZONE.CI 全球网:0x00 前言
本文将以阿里云为例，对云服务中的一些攻防手法进行演示，首先利用 Terraform 进行 ECS SSRF 漏洞环境的搭建，然后通过实例中存在的 SSRF 漏洞

2023-11-135评论