你尚未登录
未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。
GadgetInspector是Black Hat 2018提出的Java反序列化链的自动挖掘工具,主要原理是基于字节码做静态分析
文章分析......
给这个帖子补充一个点:https://t.zsxq.com/RvfmEu3
调试Apache的时候会遇到apr和aprutil这两个库里的函数,这些函数我上一个帖子里是通过apt-get in......
......
师傅们,我......
PHP 利用未知伪协议进行目录遍历
下午翻到了P师傅代码审计圈的老主题 https://t.zsxq.com/Yv3z......
继续聊下#Maven小课堂# 。
编译项目的时候,我们有时候需要制定Java版本,比如编译一个Java 6下可用的Jar包,这时候需要对Maven做一些配置。
先来了解一下maven-com......
@路人甲:通过spring boot heapdump下来的内存发现有fastjson,有什么方法定位其触发url,想测试下有没有fastjson的洞,我遇到的这套系统默认是用的jackson,试了几个接口都是jackson处理的,jackson的漏洞没有测试成功,不知道是不是姿势不对(java版本1.8.0_291)。或者内存文件还有什么高价值东西可以挖掘的,目前找了一圈没找到管理员账号信息,数据库不对外连接,认证用的spring security
......
@rixo:在复现web ctf题的时候遇到一个问题没弄清楚,想问一下各位大佬。 我看的是这个博客([BUUCTF题解][HCTF 2018]WarmUp 1 - Article_kelp - 博客园),题目是[BUUCTF题解][HCTF 2018]WarmUp 1。想问一下,为什么在这一题中将file参数赋值为source.php?./../../../../ffffllllaaaagggg然后调用include函数可以执行正确的结果,而我自己搭建的环境在这样调用include函数时会报错。(下图是我搭建环境的报错)
include不能用?截断。
这道题......