Ethan's Blog

Ethan's Blog

Risk,opportunity,innovation

Discuz!ML V3.X 代码注入分析

前言

2019年7月11日,Discuz!ML爆出一个远程代码执行漏洞,漏洞触发简单,但是危害很大!攻击者在请求流量的cookie字段中的language参数处插入构造的payload,即可造成任意代码执行。正好我在某实验室应急了这个漏洞,所以就想趁此分析一下它的触发流程!

内网漫游之备忘录

前言

很早就想专门写一篇关于内网的文章,一直没有腾出空来,万万没想到,写下这篇文章的时候,竟然是我来某实验室实习的时间段:)

Xss小游戏通关秘籍

题记

最近发现一个xss的攻防网站,界面很有意思,很适合寓教于乐。于是玩了一下午,特此记录下来!xss姿势众多,所以每关也只是给了一部分示例!

Vulnhub之zzzphp from Csrf to getshell

题记:

无意中看到vulnhub新放了一个Csrf大礼包,集合多个最新的csrf to getshell的cve!所以拿这个系统做一个系列关于Csrf的代码审计之路!今天的cms是zzzphp,漏洞并不是特别复杂,算是开个头吧!

charles破解

题记

看文章看到javassist可以直接修改java字节码,之前没有尝试过,因为charles是用java写的跨平台抓包工具,之前我也用过,所以拿来进行测试!

avatar
Ethan
一花一世界,一木一森林