爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

# C3P0反序列化漏洞分析与利用 ## 0x01 概述 C3P0是一个开源的JDBC连接池，实现了数据源和JNDI绑定，支持JDBC3规范和JDBC2的标准扩展。许多知名开源项目如Hibernate和Spring都使用了C3P0。本文将详细分析C3P0组件中的反序列化漏洞利用链。 ## 0x02 环境搭建要复现该漏洞，需要在项目中引入C3P0依赖： ```xml com.mchange c3p0 0.9.5.2 ``` ## 0x03 漏洞复现 #

2025-08-25 10:26:56

Thinkphp5代码执行学习

该文档没有简介

2025-08-25 10:26:00

Thinkphp5代码执行学习

# ThinkPHP5 代码执行漏洞全面分析 ## 漏洞概述 ThinkPHP5 框架存在多个代码执行漏洞，主要涉及缓存类RCE、未开启强制路由导致的RCE以及method任意调用方法导致的RCE。这些漏洞影响多个版本，攻击者可利用这些漏洞在目标系统上执行任意代码。 ## 一、缓存类RCE漏洞 ### 影响版本 - 5.0.0 <= ThinkPHP5 <= 5.0.10 ### 漏洞原理 1. 缓存文件写入时未对内容进行有效过滤 2. 攻击者可通过注入换行符绕过注释限制 3. 恶意代

2025-08-25 10:26:00

CVE-2016-4437:Apache Shiro RememberMe UnSerialized RCE分析

该文档没有简介

2025-08-25 10:25:12

CVE-2016-4437:Apache Shiro RememberMe UnSerialized RCE分析

# Apache Shiro RememberMe 反序列化漏洞 (CVE-2016-4437) 分析 ## 漏洞概述 Apache Shiro 是ASF旗下的一款开源安全框架，提供身份验证、授权、密码学和会话管理功能。在1.2.4及以前版本中，存在一个严重的安全漏洞： - **漏洞类型**：反序列化导致的远程代码执行(RCE) - **影响范围**：Apache Shiro <=1.2.4（部分高于1.2.4的版本如果密钥泄露也会受影响） - **漏洞原理**：加密的用户信息序列化后存储

2025-08-25 10:25:12

qdPM <9.1 远程代码执行漏洞分析（CVE-2020-7246）

该文档没有简介

2025-08-25 10:24:25

qdPM <9.1 远程代码执行漏洞分析（CVE-2020-7246）

# qdPM <9.1 远程代码执行漏洞分析（CVE-2020-7246）教学文档 ## 0x00 漏洞背景 qdPM是一个基于web的项目管理系统，版本9.1之前存在远程代码执行漏洞（CVE-2020-7246）。该漏洞源于系统对.htaccess文件的不当处理以及上传功能的缺陷，导致攻击者可以绕过安全限制上传恶意PHP文件并执行任意代码。 ## 0x01 前置知识 ### .htaccess文件机制 1. **作用**：.htaccess是Apache服务器的配置文件，用于控制相关

2025-08-25 10:24:25

phpmyadmin<4.8.3 XSS挖掘

该文档没有简介

2025-08-25 10:23:07

phpmyadmin<4.8.3 XSS挖掘

# phpMyAdmin <4.8.3 XSS漏洞分析与利用 ## 漏洞概述 phpMyAdmin在4.8.3版本之前存在一个存储型XSS漏洞，攻击者可以通过精心构造的SQL语句向`mysql.user`表中插入恶意数据，最终导致XSS攻击。该漏洞源于`$GLOBALS`全局变量的不安全使用和缺乏适当的输入过滤。 ## 漏洞影响版本 phpMyAdmin < 4.8.3 ## 环境准备 1. **软件需求**： - phpMyAdmin 4.8.2 - PHPStorm（

2025-08-25 10:23:07

CVE-2020-9484 tomcat session反序列化漏洞分析

该文档没有简介

2025-08-25 10:21:46

CVE-2020-9484 tomcat session反序列化漏洞分析

# CVE-2020-9484 Tomcat Session反序列化漏洞分析 ## 漏洞概述 CVE-2020-9484是Apache Tomcat中的一个Session反序列化漏洞，影响版本为： - 10.0.0-M1至10.0.0-M4 - 9.0.0.M1至9.0.34 - 8.5.0至8.5.54 - 7.0.0至7.0.103 ## 漏洞原理该漏洞源于Tomcat在使用FileStore持久化Session时，未能对Session ID进行有效过滤，导致攻击者可以通过目录穿越

2025-08-25 10:21:46

emlog博客系统的一次审计

该文档没有简介

2025-08-25 10:20:47

跳转到页