关注我们

黑白网成立于2014年,基于丰富的技术和经验,专注于信息安全,提供网络安全攻防、极客创意类文章、黑白帽黑客类技术文章、全球互联网实时动态。旨在提高国民IT经验,安全并非一个人的责任。 互联网时代,诸君共勉!

  • CVE-2019-2725/CNVD-C-2019-48814新套路——JDK8U20

    CVE-2019-2725/CNVD-C-2019-48814新套路——JDK8U20

    前言本来以为,CVE-2019-2725写完终章就结束了。结果黑猫大师兄(IBearcat),说了一句JDK>7U21也是可以getshell的。IBearcat网上几乎都是传闻10.3.6不连外网使用JDK7U21 gadget,其...

    傲天 安全文摘 2019.06.11 331393
  • CVE-2019-2725/CNVD-C-2019-48814终章——报文回显

    CVE-2019-2725/CNVD-C-2019-48814终章——报文回显

    前言不知道有没有人用过一款工具,是shack2写的shack2这是一款很神奇的工具。神奇在运行它可以得到回显且能找到正确的webapp发布路径,目前已知的xmldecoder的exp一般都是写webapp默认路径。当用户安装时更改了路径,由...

    小威 安全文摘 2019.06.09 418367
  • 丢给你一个txt并同时获取你shell

    丢给你一个txt并同时获取你shell

    听闻很多人知道这个漏洞,但是有一部分人能复现成功,一部分人复现不出来。这里我就我自己的复现经历给大家演示一下。git clone https://github.com/numirias/security.git0x01:复现&nb...

    日常无视黑桃 安全文摘 2019.06.09 353338
  • 意外发现一套cms的注入漏洞

    意外发现一套cms的注入漏洞

    说明:此次检测为官方授权检测!!!表情包与文章无关正文如下:事情是这样的某一天在一个安全交流群里聊天,一个朋友说他们老师叫他去检测下他们学校官网,后来朋友他找到了我让我帮助他进行安全检测。我这么菜,但是还是去看看吧。首先我们打开主站访问ro...

    老书生 安全文摘 2019.06.09 354874
  • CVE-2019-2725/CNVD-C-2019-48814第三弹——通杀

    CVE-2019-2725/CNVD-C-2019-48814第三弹——通杀

    前言第二弹的补丁(CVE-2019-2725/CNVD-C-2019-48814第二弹——JNDI)绕过复现使用了JtaTransactionManager类配合JNDI完成二阶RCE,但该应用场景有限。需要受害者允许访问公网RMI,根据p...

    楠枫 安全文摘 2019.06.07 382024
  • Laravel 5.8 SQL 注入漏洞详解

    Laravel 5.8 SQL 注入漏洞详解

    0x01 背景最近研究Laravel框架的代码审计,因为3月份爆出过一个ignore函数的一个漏洞,网上找了些文章,看了下, 自己搭建环境测试,一直没有成功, 自己就详细的审计了一遍0x02 laravel介绍Laravel 在全球范围内有...

    只是个小新手 安全文摘 2019.06.07 279929
  • CVE-2019-0697:通过DHCP漏洞发现其余两个关键漏洞

    CVE-2019-0697:通过DHCP漏洞发现其余两个关键漏洞

    在前文中我们已经讨论过关于CVE-2019-0726的相关内容。我们知道,有时候在搜索某一个已知漏洞的时候便会偶然发现新的漏洞,有时这种漏洞还不止一个。本文讨论了dhcpcore.dll的两个函数:在传递消息时使用的UpdateDomain...

    f506890189 安全文摘 2019.06.07 237316
  • 记一次获取远程桌面历程

    记一次获取远程桌面历程

    整体流程:第一步,万能密码进入后台第二步,传免杀马连菜刀第三步,端口转发第四步,读取hash值0x01 进入后台找到后台登陆界面/admin/,尝试万能密码登录,成功进入后台0x02 传马连菜刀找到上传点,上传1.php文件失败,提示只允许...

    Aslan 安全文摘 2019.06.07 297421
  • 社工看世界之100美金骗局

    社工看世界之100美金骗局

    端午节到了,祝大家端午节快乐的同时,也祝所有的考生,能够顺顺利利的考上自己喜欢的大专。社工看世界之100美金骗局如果说给你个机会,100美金的投资,就能收获440元利润?你敢不敢豪赌一把?来看一下,新闻报道投资100美金,就能收获440元利...

    七笙 安全文摘 2019.06.07 320986
  • 【干货】浅析浏览器安全

    【干货】浅析浏览器安全

    在一次与朋友的聊天中,朋友问我对浏览器安全是否有了解。我的第一反应就是没有了解过~做了这么多年安全,好像从来没有去思考过浏览器在安全方面的问题。朋友再次提醒,你做过的web网站渗透,不都是通过浏览器去访问的么,它的URL、它的协议、它的同源...

    Lzers 安全文摘 2019.06.06 299953