admin
对一次PHPCMS9.6任意文件上传的代码审计学习
前言:第一次接触代码审计的小白,要是过程有哪里出现错误或者是理解不好的地方希望各位前辈的指点!!!也希望可以对一些刚刚接触或者是想接触代码审计的同学能提供一点点思路。正文:思路:我对这个漏洞的审计过程...
针对乌克兰的新型雨刷式和蠕虫攻击在战争前就开始了
ESET 研究人员发现了一种攻击乌克兰组织的新Wiper以及在本地网络中传播 HermeticWiper 的蠕虫组件。随着最近俄罗斯和乌克兰之间战争的进行,ESET 研究人员发现了几个针对乌克兰组织的...
CVE-2022-38627:Linear eMerge E3楼宇管理系统SQL注入
介绍:在这项研究中,我将向您展示我是如何找到这个关键的 0day 漏洞的,它让我可以控制整个企业大楼管理系统(门、摄像头、电梯等……)除此之外,我还可以获取员工数据,并添加新的有权访问企业大楼的权限等...
Patch diff an old vulnerability in Synology NAS
作者:cq674350529本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送! 投稿邮箱:[email protected]前言之前在浏览群晖官方的安全公告时,翻到一个Cri...
高效率开发Web安全扫描器之路(一)
一、背景经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现他们大部分漏洞其实是通过工具挖...
JDBC MySQL任意文件读取分析
JDBC MySQL任意文件读取分析在渗透测试中,有些发起mysql测试流程(或者说mysql探针)的地方,可能会存在漏洞。在连接测试的时候通过添加allowLoadLocalInfileInPath...
攻击DSP:揭开高通Hexagon的神秘面纱
概述Hexagon是高通研发的数字信号处理器(DSP,Digital Signal Processor) 。目前市面上基于高通平台的手机都会使用该芯片,它主要用来进行音视频处理、AI计算以及信号调制解...