zabbix SQL注入漏洞（CVE-2016-10134）复现 漏洞介绍：zabbix是一款服务器监控软件，其由server、agent、web等模块组成，其中web模块由PHP编写，用来显示数据库中的结果。漏洞环境：在vulhub执行如下命令... 2020-08-27 17:54:16 | 阅读: 411 | 收藏 | www.secpulse.com sessionid php 漏洞 profileidx2 0x7e

2020 强网杯s4 Web Wrtieup 扫描得到网站备份文件，查看源代码发现是反序列化题目分析Class.php<?phpclass player{    protected $user;    protected... 2020-08-27 16:28:47 | 阅读: 518 | 收藏 | www.secpulse.com 5c0 php username 2a midsolo

「Burpsuite练兵场」SQL注入及相关实验（一） 说到SQL注入漏洞，各位小伙伴一定是耳熟能详，作为一种常见的高危漏洞，其对于应用程序的损害是非常严重的。因此这也是一个在渗透测试的过程中具有高优先级的验证目标，所以将与之相关的实验进行优... 2020-08-27 15:25:23 | 阅读: 497 | 收藏 | www.secpulse.com 注入 数据 账号 子句 gifts

精通PHP序列化与反序列化之“道” 什么是序列化和反序列化序列化：将对象转换成一个字符串，PHP序列化函数是:serialize() 反序列化：将序列化后的字符串还原为一个对象，PHP反序列化函数是:unserialize()... 2020-08-26 16:07:43 | 阅读: 306 | 收藏 | www.secpulse.com typecho php 魔术 pers phpclass

三天内不给钱就泄密，Sekhmet勒索需警惕 背景概述Sekhmet勒索病毒于今年三月份出现，已有一家跨境IT服务公司的数据被该勒索病毒团伙在博客上公布了近百G的数据。攻击者采用先窃取再加密的方式实施勒索行为。该勒索病毒和“大名... 2020-08-26 12:29:01 | 阅读: 402 | 收藏 | www.secpulse.com 加密 勒索 信息 chacha20 病毒

从PbootCMS审计到某狗绕过 之前审计发现的PbootCMS2.0.3前台RCE，看了最近的版本更新漏洞被修复了，就放出之前的POC顺便看看能不能绕过补丁。 项目地址：https://github.com/hnaoyun/Pb... 2020-08-26 12:13:42 | 阅读: 354 | 收藏 | www.secpulse.com php 绕过 payload implode 前台

攻守道—流量分析的刀光剑影（下） 这是 酒仙桥六号部队 的第 24 篇文章。全文共计3449个字，预计阅读时长11分钟。大家好，我又回来了，上一期我们对那一起攻击事件流量的分析只进行了一半，事情还远未结束... 2020-08-25 18:42:52 | 阅读: 333 | 收藏 | www.secpulse.com 数据 攻击 攻击者 数据库 流量

攻守道—流量分析的刀光剑影（上） 这是 酒仙桥六号部队 的第 23 篇文章。全文共计3915个字，预计阅读时长12分钟。前言又到了一年一度的HW时刻，各家都在为HW积极筹备着，一些厂商也在做着攻防演练的工作... 2020-08-25 17:54:51 | 阅读: 398 | 收藏 | www.secpulse.com 攻击 数据 php 流量 攻击者

从逆向角度看证书覆盖安装漏洞 这是 酒仙桥六号部队 的第 22 篇文章。全文共计1646个字，预计阅读时长6分钟。前言首先我们来了解下证书覆盖安装漏洞，此漏洞是2020年Google官方公布的漏洞之... 2020-08-25 15:47:02 | 阅读: 454 | 收藏 | www.secpulse.com 证书 漏洞 apk 修复

安全通告｜宝塔面板数据库管理未授权访问漏洞风险通告 近日，腾讯云安全运营中心监测到，宝塔面板官方发布通告，披露了一个数据库管理未授权访问漏洞，漏洞被利用可导致数据库管理页面未授权访问。为避免您的业务受影响，腾讯云安全建议您及时开展安... 2020-08-25 12:37:58 | 阅读: 359 | 收藏 | www.secpulse.com 漏洞 安全 宝塔 数据 数据库

性感“注入”，在线“发牌” 这是 酒仙桥六号部队 的第 21 篇文章。全文共计2037个字，预计阅读时长7分钟。前言周末的清晨，我在模模糊糊的睡梦中被电话惊醒，发现好多未接视频，连忙的看了一下... 2020-08-25 12:11:11 | 阅读: 430 | 收藏 | www.secpulse.com 拦截 信息 数据 数据库 绕过

Weblogic WLS Core Components 反序列化命令执行漏洞（CVE-2018-2628）复现 漏洞介绍：    Oracle 2018年4月补丁中，修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞（CVE-2018-2628）... 2020-08-24 15:49:30 | 阅读: 457 | 收藏 | www.secpulse.com 漏洞 攻击 7001 端口

渗透测试之黑白无常 1背景本文是前段时间做过的测试，当时并没有进行截图以及记录，所以本文全篇使用本地搭建环境来复现，如有觉得不合理的地方，可能是本地复现的时候未完全还原真实环境，主要是记录当时在做这个渗透测试的... 2020-08-21 16:20:58 | 阅读: 433 | 收藏 | www.secpulse.com 数据 payload wordpress 注入 漏洞

浅谈渗透江湖之细水柔情 这是 酒仙桥六号部队 的第 19 篇文章。全文共计4030个字，预计阅读时长12分钟。1前言在渗透测试的江湖里，不只有getshell后在刀光剑影的内网中... 2020-08-21 13:12:24 | 阅读: 318 | 收藏 | www.secpulse.com 漏洞 遍历 openid 信息 模块

手工搭建建议的Linux恶意脚本分析系统 概述Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播，而且，同一个病毒家族所使用的的恶意脚本往往具有极高相似性，新变种的脚本大部分是在旧变种脚本的基础上进行修改，新... 2020-08-21 11:48:41 | 阅读: 390 | 收藏 | www.secpulse.com 脚本 病毒 difflib similarity

从RCE漏洞看国产网络安全产品的沦陷，论软件安全的重要性 近日，深信服EDR终端检测响应平台RCE漏洞复现，该事件引发了业内强烈关注。监控发现网络上出现关于深信服EDR终端检测响应平台存在0day漏洞信息，经过追踪调查确认该漏洞真实存在。攻击者... 2020-08-21 11:38:02 | 阅读: 520 | 收藏 | www.secpulse.com 安全 漏洞 远程 攻击 注入

通达OA 2015-2017版本多个0-Day漏洞可致远程代码执行 1.1 通达OA介绍通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平... 2020-08-21 10:54:17 | 阅读: 542 | 收藏 | www.secpulse.com 漏洞 通达 php 攻击者 攻击

通达OA 任意文件删除结合文件上传导致RCE漏洞 1.1 通达OA介绍通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平... 2020-08-21 10:49:18 | 阅读: 519 | 收藏 | www.secpulse.com 通达 漏洞 安全 数据 v11

Apache Shiro 权限绕过漏洞 CVE-2020-13933 1.1 Apache Shiro组件介绍ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松... 2020-08-20 18:57:28 | 阅读: 591 | 收藏 | www.secpulse.com shiro 漏洞 安全 千里目 绕过

Webmin 远程命令执行漏洞（CVE-2019-15107） 漏洞介绍：    Webmin是一个用于管理类Unix系统的管理配置工具，具有Web页面。在其找回密码页面中，存在一处无需权限的命令注入漏洞，通过这个漏洞攻击者即可以执行任意系统命令。... 2020-08-20 18:49:21 | 阅读: 516 | 收藏 | www.secpulse.com 漏洞 webmin 数据 注入 test2