DrayTek是中国台湾的一家网络设备制造商，其产品包括VPN路由器、管理型交换机、无线AP和管理系统等，并被中小型企业广泛使用。DrayTek路由器系统存在远程代码执行漏洞，攻击者通过漏洞可以获取...

本文转载于公众号：融云攻防实验室，原文地址： 漏洞复现-Struts2-057 远程命令执行漏洞 Struts是Apache软件基金会（ASF）赞助的一个开源项目。它最初是Jakarta项目中的一个子项目，并在2004年3...

前言 安装完青龙面板之后，咱们很容易忘记密码是什么，这个时间咱们如果是docker安装的话，可以通过以下方式找回密码。 找回密码 登录青龙面板服务器 查看启动docker的具体配置 docker inspect ...

前言 WordPress上传图片如何禁止自动生成缩略图呢？我们在使用WordPress程序的时候上传的图片会自动生成缩略图，还会占用我们的空间内容。那么我们如何来禁止呢？今天安全小天地给大家总结了禁...

本文转载于公众号：融云攻防实验室，原文地址： 漏洞复现-JMXInvokerServlet/EJBInvokerServlet JBoss反序列化远程代码执行 JBoss是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许...

安装环境 安装前请检查端口，点击查看（无法连接服务器） centos7/8系统 64位，服务器需要干净环境，要求全新干净系统，不能安装在已有的nginx,mysql的环境中。 如需在已有配置数据环境安装，请...

相关阅读 反序列使用到的相关魔术方法 自动审计或搜索关键字找到文件及代码段 __wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call()...

本文转载于公众号：融云攻防实验室，原文地址： 漏洞复现-flask-ssti(模版注入漏洞) 漏洞利用 Flask是一个轻量级的可定制框架，使用Python语言编写，较其他同类型框架更为灵活、轻便、安全且容...

什么是ATT&CK模型 ATT&CK背景介绍MITRE是一个由美国政府资助的研究机构，它在1958年脱离MIT，并且参与了许多商业和最高机密项目，甚至一些美国军方的威胁建模项目。2013年，MITRE推出了...

前言 博主环境：windows11 + phpstudy phpstudy配置 这里就不多赘述了，直接官网下载下来，下一步就可以了，这里说一下关于php版本选择： 我搭建xdebug并不是为了开发，主要是用来进行环境配置...

漏洞描述 D-link DCS是一款网络摄像机，工作温度为0-50℃。D-link DCS系统存在密码泄露漏洞，攻击者可以根据泄露信息，进入后台 适用范围中小企业设备类型网络摄像机 图象分辨率(dpi)704×480，...

上一篇介绍了一下docker管理常用命令，这一篇我们来介绍一下docke常用的容器管理命令 创建容器常用选项 命令格式：docker run [option] IMAGE [COMMAND] [ARG] 选项描述-i，-interactive交互式-...

前言 经过仔细思考，还是使用rust将客户端进行完整重构了一般，现在构建文件由原来的go（win）的10m压缩至2m，upx压缩之后只有700kb，虽然比不上完全由c/c#实现的客户端吧，但是也还是可以接受...

0x01 阅读须知 0x02 漏洞描述 海康威视综合安防管理平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。海康威视综合安防管理平台存在Fastjson远程命令执...

sqlmap思维导图： 点击图片放大查看 基本操作笔记 基本操作笔记：-u #注入点 -f #指纹判别数据库类型 -b #获取数据库版本信息 -p #指定可测试的参数(?page=1&id=2 -p 'page,id') -D '' #指...

介绍 ProxyChains是Linux和其他Unix下的代理工具。 它可以使任何程序通过代理上网， 允许TCP和DNS通过代理隧道， 支持HTTP、 SOCKS4和SOCKS5类型的代理服务器， 并且可配置多个代理。 ProxyChai...