爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

某cms代码注入漏洞复现与分析

# Kodbox 1.47 命令注入漏洞分析与复现指南 ## 漏洞概述 Kodbox 是一款功能丰富的私有云在线文档管理系统，可作为网络文件管理器和网页代码编辑器使用。在版本低于1.48的系统中存在一个命令注入漏洞，攻击者可通过精心构造的请求在服务器上执行任意命令。 **漏洞影响版本**：Kodbox < 1.48 **漏洞文件**：`plugins/officeViewer/controller/libreOffice/index.class.php` **漏洞类型**：命令注入

2025-08-18 12:43:04

最新SQL注入漏洞原理及与MySQL相关的知识点

# SQL注入漏洞原理及MySQL相关知识点详解 ## 一、SQL注入漏洞简介 SQL注入(Structured Query Language Injection)是指Web应用程序对用户输入数据的合法性缺乏有效判断，前端传入后端的参数被攻击者控制，并且这些参数被直接拼接到数据库查询语句中。攻击者可以通过构造特殊的SQL语句实现对数据库的任意操作。 ### 动态SQL语句的风险开发人员常使用动态SQL语句创建通用、灵活的应用。动态SQL在执行过程中构造，根据不同条件产生不同SQL语句。

2025-08-18 12:42:14

记某次HVV：文件上传打入内网

# HVV攻防演练：文件上传漏洞打入内网技术分析 ## 1. 漏洞背景与发现在HVV(护网行动)攻防演练中，攻击方发现目标系统存在文件上传漏洞，通过精心构造的攻击链成功打入内网。该漏洞源于目标系统对用户上传文件过滤不严，导致攻击者能够上传恶意文件并执行。 ## 2. 漏洞利用过程详解 ### 2.1 初步信息收集 1. **目标识别**：通过前期信息收集发现目标系统存在文件上传功能 2. **功能分析**：确认上传接口为`/upload.php`，接受多种文件类型 3. **黑盒测试

2025-08-18 12:41:31

XML外部实体注入

# XML外部实体注入(XXE)漏洞全面解析 ## 1. XML基础概念 XML（可扩展标记语言）是一种用于存储和传输数据的标记语言，具有以下特点： - 类似HTML但设计用于传输和存储数据 - 跨平台、跨语言的数据交互标准 - 广泛应用于配置文件和应用程序数据交换 ### XML语法规则： 1. 元素必须有关闭标签 2. 标签对大小写敏感 3. 必须正确嵌套 4. 文档必须有根元素 5. 属性值必须加引号 ### XML文档结构： 1. XML文档声明（第一行） 2. 文档类型定义（

2025-08-18 12:40:46

web渗透之发现内网有大鱼

# Web渗透实战：内网渗透与Weblogic漏洞利用 ## 信息收集阶段 ### 目标识别 - 目标IP: xx.xx.xx.xx - 端口扫描结果： - 7001/http (Weblogic默认管理端口) - 8080/http - 9001/http - 9090/websm ### 初步分析 - 只有7001端口可访问 - 识别为Weblogic服务器 - Weblogic近年来存在大量漏洞，是重点攻击面 ## Weblogic漏洞利用 ### 攻击尝试 1.

2025-08-18 12:29:29

Getshell的途中

抱歉，无法读取该文件。请更新其他文件，我可以为你进行总结。

2025-08-18 12:28:37

MyBatis-Plus快速入门指南：零基础学习也能轻松上手

# MyBatis-Plus 全面教学指南 ## 一、MyBatis-Plus 简介 ### 1. 基本概念 MyBatis-Plus (简称 MP) 是一个 MyBatis 的增强工具，在 MyBatis 的基础上只做增强不做改变，为简化开发、提高效率而生。 ### 2. 核心特性 - **无侵入**：只做增强不做改变，引入不会对现有工程产生影响 - **损耗小**：启动即自动注入基本 CURD，性能基本无损耗 - **强大的 CRUD 操作**：内置通用 Mapper、通用 Servi

2025-08-18 12:28:18

代码审计 | 你一定会审的java系统

# Java代码审计教学文档：学生管理系统安全分析 ## 1. 背景与目标本教学文档基于一个典型的学生管理系统Java项目进行代码审计实践，目标是： - 掌握Java CMS系统代码审计的基本流程 - 建立Java代码审计的checklist - 识别常见安全漏洞及其修复方法 ## 2. 环境准备 ### 2.1 系统要求 - 操作系统：Windows 10 - JDK版本：1.8.0_172 - 数据库：MySQL 5.7（可使用PHPstudy集成环境） - 开发工具：IDEA 2

2025-08-18 12:26:23

[ctf-PWN] house of orange 详细解析

# House of Orange 漏洞利用技术详解 ## 一、概述 House of Orange 是一种针对 glibc 堆管理机制的漏洞利用技术，最早出现在 2016 年的 Hitcon CTF 比赛中。该技术可以在没有 free() 函数的情况下实现堆利用，通过精心构造的堆操作触发系统调用 `_int_free`，最终实现任意代码执行。 ## 二、前置知识 ### 1. 关键堆管理机制 - **Top Chunk**: 堆内存中未被分配的顶部区域，当现有堆空间不足时会从这里分割

2025-08-18 12:25:29

SkidMap复杂挖矿新变种排查

# SkidMap复杂挖矿新变种排查指南 ## 1. SkidMap挖矿病毒概述 SkidMap是一种针对Linux系统的复杂挖矿病毒，具有以下特点： - 采用多种持久化技术确保存活 - 使用rootkit技术隐藏自身进程和文件 - 通过SSH暴力破解传播 - 主要目标是门罗币(XMR)挖矿 ## 2. 感染特征与初步识别 ### 2.1 系统资源异常 - CPU使用率异常高(但可能被rootkit隐藏) - 系统响应变慢 - 网络流量异常增加 ### 2.2 可疑进程 - 存在名为`

2025-08-18 12:24:19

禅道各版本漏洞复现汇总下篇

# 禅道各版本漏洞复现与分析 ## 目录 1. [禅道12.4.2 CSRF漏洞 (CNVD-2020-68552)](#禅道1242-csrf漏洞-cnvd-2020-68552) 2. [禅道12.4.2 后台任意文件上传漏洞 (CNVD-C-2020-121325)](#禅道1242-后台任意文件上传漏洞-cnvd-c-2020-121325) 3. [禅道16.5 router.class.php SQL注入漏洞](#禅道165-routerclassphp-sql注入漏洞) 4. [

2025-08-18 12:23:07

新型钓鱼攻击利用日语字符"ん"伪装斜杠实施欺诈

# 新型钓鱼攻击：利用日语字符"ん"伪装斜杠的教学文档 ## 1. 攻击概述安全研究人员发现了一种新型钓鱼攻击技术，攻击者利用日语平假名"ん"(Unicode U+3093)创建极具欺骗性的URL，专门针对知名旅行预订平台Booking.com的客户。 ## 2. 攻击技术原理 ### 2.1 字符替换机制 - 利用日语字符"ん"(Unicode U+3093)与斜杠符号"/"的视觉相似性 - 在某些字体和系统显示中，两者几乎无法区分 - 攻击者将URL中的斜杠替换为"ん"字符 ##

2025-08-18 12:21:23

跳转到页