搜索精彩内容
包含"SSRF"的全部内容
Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸
周五晚上开始学习Apache HTTP Server(后文简称为Apache)mod_proxy的SSRF漏洞(CVE-2021-40438),并在星球简单介绍了一下编译、调试Apache服务器的方法,今天继续深入分析一下这个漏洞的成因...
Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸
周五晚上开始学习Apache HTTP Server(后文简称为Apache)mod_proxy的SSRF漏洞(CVE-2021-40438),并在星球简单介绍了一下编译、调试Apache服务器的方法,今天继续深入分析一下这个漏洞的成因...
挖洞小记 – 先知社区
前言:上个月月初开始,在那些项目结束之后进入了挖洞时期,每天的日常工作就是挖洞,除非有临时的项目才会停下,最近在整理报告,发现了这个站,还是挺有意思的。 信息收集 从fofa上找到了这个...
webshell,禁止你执行
做了那么多渗透测试,关于拿webshell的方法算是知道了不少。现在回过头看看自己的站,是不是也要增加点防御措施呢?实话说,如果有emlog后台的话传webshell应该不成问题,保护后...
虚拟机kali安装vmtools
之前遇到的这个问题一直没有时间解决,明天举办比赛,今天下午也算突然清闲了,干脆再实验室把vmtools弄好。 kali进去后,安装vmtools有点蛋疼,中途会问你要编...
遇到一个有趣的逻辑漏洞
遇到个有趣的逻辑漏洞,和大家分享一下。 某系统数据库是mysql。user表有个code字段,类型是int(11),这个字段是保存一个随机数,用来找回密码的时候做验证,默认值是0。 找回密码时候的步...
CVE-2016-3714 – ImageMagick 命令执行分析
ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片...
谈一谈如何在Python开发中拒绝SSRF漏洞
0x01 SSRF漏洞常见防御手法及绕过方法 SSRF是一种常见的Web漏洞,通常存在于需要请求外部内容的逻辑中,比如本地化网络图片、XML解析时的外部实体注入、软件的离线下载等。当攻击者传入一个未经...
Python安全 – 从SSRF到命令执行惨案
前两天遇到的一个问题,起源是在某个数据包里看到url=这个关键字,当时第一想到会不会有SSRF漏洞。 以前乌云上有很多从SSRF打到内网并执行命令的案例,比如有通过SSRF+S2-016漏洞漫游内网的案例...
Real World CTF 2018 bookhub 总结
挖坑必须填,虽然已久过去比较久了,但是我还是得简单写一下。 这个题目一共4个考点,文中图借用了参赛者的WP。 信息搜集 我一向出代码审计相关的题目,所以一般都直接给源码。打开源码,并简单...