爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

代码审计之某cms V2.0

# HSYCMS V2.0 安全审计报告与漏洞分析 ## 前言本报告基于对HSYCMS V2.0（基于ThinkPHP 5.0开发）的安全审计结果，详细分析了系统中存在的多个安全漏洞，包括SQL注入、XSS、任意文件下载、任意文件删除以及通过配置文件写入实现Getshell等安全问题。 ## 1. SQL注入漏洞 ### 漏洞位置 - 文件：`app/index/controller/Show.php`中的`index`方法 - 调用链：`index`方法 → `prevNext`函数

2025-08-27 04:03:54

QEMU虚拟化逃逸学习之：WCTF2019 VirtualHole

该文档没有简介

2025-08-27 04:03:05

QEMU虚拟化逃逸学习之：WCTF2019 VirtualHole

# QEMU虚拟化逃逸漏洞分析：WCTF2019 VirtualHole详解 ## 0. 前言本文详细分析WCTF2019线下赛题目"VirtualHole"，这是一个QEMU虚拟化逃逸漏洞的典型案例。通过这个案例，我们可以学习虚拟化逃逸的基本原理和利用方法。 ## 1. 环境准备 ### 1.1 QEMU编译与安装 1. 从QEMU官网下载qemu-3.1.0-rc5版本 2. 替换包含漏洞的megasas.c文件 3. 安装依赖： ```bash sudo apt-g

2025-08-27 04:03:05

CVE-2019-12384漏洞剖析

该文档没有简介

2025-08-27 04:02:06

CVE-2019-12384漏洞剖析

# CVE-2019-12384 Jackson反序列化漏洞深度剖析与利用 ## 漏洞概述 CVE-2019-12384是一个影响Jackson库的反序列化漏洞，允许攻击者在特定条件下实现服务器端请求伪造(SSRF)和远程代码执行(RCE)。该漏洞影响一系列RedHat产品，主要涉及Jackson库的多态类型处理功能。 ## 漏洞利用条件要成功利用此漏洞，需要满足以下四个条件： 1. **不受信任的JSON输入**：应用程序接受由不受信任的客户端发送的JSON内容，且无法约束正在发送

2025-08-27 04:02:06

路由器漏洞分析系列（5）：CVE-2018-19986 DIR-818LW&828命令注入漏洞分析及复现

该文档没有简介

2025-08-27 03:51:05

路由器漏洞分析系列（5）：CVE-2018-19986 DIR-818LW&828命令注入漏洞分析及复现

# D-Link DIR-818LW & DIR-828 命令注入漏洞(CVE-2018-19986)分析与复现指南 ## 漏洞概述 CVE-2018-19986是D-Link DIR-818LW Rev.A 2.05.B03和DIR-822 B1 202KRb06路由器中存在的操作系统命令注入漏洞。通过HNAP1协议访问SetRouterSettings时，RemotePort参数未经适当检查直接用于构建系统命令，导致攻击者可执行任意命令。 ## 漏洞原理 ### 漏洞代码分析漏洞

2025-08-27 03:51:05

虚拟化安全：VirtualBox TFTP Server漏洞分析

该文档没有简介

2025-08-27 03:49:56

虚拟化安全：VirtualBox TFTP Server漏洞分析

# VirtualBox TFTP服务器漏洞分析与利用教学文档 ## 0x00 漏洞概述本教学文档详细分析VirtualBox TFTP服务器中存在的两个安全漏洞： 1. **CVE-2019-2553** - 目录遍历漏洞 2. **CVE-2019-2552** - 由于TFTP OptionBlkSize的错误验证引发的堆溢出漏洞这两个漏洞在VirtualBox默认配置下即可触发，无需特权用户操作，也无需安装Guest Additions。 ## 0x01 漏洞环境 ###

2025-08-27 03:49:56

CVE-2018-9539:特权Android服务中的Use-After-Free

该文档没有简介

2025-08-27 03:48:58

CVE-2018-9539:特权Android服务中的Use-After-Free

# Android MediaCasService UAF漏洞分析 (CVE-2018-9539) ## 0x00 漏洞概述 CVE-2018-9539是一个在Android 8.0-9.0版本中存在于ClearKey CAS descrambler中的Use-After-Free漏洞。该漏洞允许攻击者通过竞争条件(race condition)触发UAF，可能导致权限提升。谷歌在2018年11月的安全补丁中修复了该漏洞。 ## 0x01 背景知识 ### 1. Project Treb

2025-08-27 03:48:58

CVE-2018-8423：Jet数据库引擎漏洞利用

该文档没有简介

2025-08-27 03:48:12

跳转到页