Foxit Reader堆溢出漏洞研究

写在前面：最近在做样本分析时，关注到了Foxit Reader阅读器在2017年公布的堆溢出漏洞，但是值得注意的是，该漏洞在其补丁版本和最新版本中，均没有得到较好的修补，使得Foxit禁用了bmp图片…

 ChaMd5安全团队 2022-10-28 15:21:56

6,080 0 0

MCMS 审计之路

MCMS 是 J2EE 系统，完整开源的Java CMS，基于SpringBoot 2架构，前端基于vue、element ui。为开发者提供上百套免费模板,同时提供适用的插件（文章、商城、微信、论坛…

 合天网安实验室 2022-10-09 14:37:45

7,281 0 0

goahead环境变量注入漏洞

一、前言1.1 下载地址二、CVE-2017-175622.1 漏洞分析cve-2017-17562远程命令执行漏洞影响Goahead 2.5.0到Goahead 3.6.5之间的版本。在cgiHan…

 合天网安实验室 2022-08-29 13:39:22

4,732 0 0

细说从0开始挖掘cms-

声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。前言挖了一些phpcms的漏洞了，突然想尝试去挖一下javacms的漏洞，于是写下这篇…

 合天网安实验室 2022-08-18 11:13:48

5,567 0 1

代码审计之逃不过的命运

噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢反手就做个更新。漏洞复现• 后台增加可执行的语句。• 创建非管理组的用户• 换浏览器登录选择小明账户登录，此时注意，添加…

 TideSec 2022-08-03 15:10:18

13,390 0 1

CVE-2022-33891 Apache spark shell 命令注入漏洞复现

简介Spark 是用于大规模数据处理的统一分析引擎。它提供了 Scala、Java、Python 和 R 中的高级 API，以及支持用于数据分析的通用计算图的优化引擎。它还支持一组丰富的高级工具，包括…

 合天网安实验室 2022-07-26 10:25:28

4,817 0 4

Fastjson 代码执行 CVE-2022-25845

漏洞简介　　Fastjson 代码执行漏洞，该漏洞允许攻击者绕过 Fastjson 中的"AutoTypeCheck"机制并实现远程代码执行　　影响版本：1.2.80及以下版本，即…

 合天网安实验室 2022-07-22 11:47:33

8,788 0 1

ARM PWN基础教程

一、前言 在CTF比赛中，我们所能接触到的大部分都是x86 x86_64架构的题目，而在我开始接触IOT方向的研究以后发现智能设备所用到的则是ARM和MIPS架构为主。本篇文章在介绍前置知识…

 合天网安实验室 2022-07-20 16:23:01

7,041 0 1

vivotek 栈溢出漏洞复现

‍一、前言 近日公司进了一批摄像头，以前还没有做过这方面的研究所以找了一个vivotek 2017年的栈溢出漏洞拿来练练手。二、固件仿真 虚拟机环境：Ubuntu 20.04 gdb版本：GNU gd…

 合天网安实验室 2022-07-11 15:05:05

5,946 0 1

CVE-2021-44548 Apache Solr 敏感信息泄露漏洞分析及复现

前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。如果文章中的漏洞出现敏感内容产生了部分影响，请及时联系作者，望谅解。一、漏洞原理…

 合天网安实验室 2022-05-19 16:38:55

8,630 0 0

ThinkPHP3.2.3反序列化链子分析

点击蓝色关注我们前言目前官方已经不再维护ThinkPHP3.2.3，本文仅对ThinkPHP3.2.3反序列化链子进行复现，如有纰漏，还望指正。环境介绍MAMP proPhpStormXdebug利用…

 合天网安实验室 2022-04-15 13:17:13

5,457 0 0

CVE-2021-40444：Microsoft MSHTML RCE

上方蓝色字体关注我们，一起学安全！作者：Pet3r@Timeline Sec本文字数：1014阅读时长：3～4min声明：仅供学习参考使用，请勿用作违法用途，否则后果自负0x01 简介Microsof…

 Timeline Sec 2022-03-31 13:43:19

8,598 0 0

Yapi远程命令执行漏洞复现

基础知识YAPI是由去哪儿网移动架构组(简称YMFE，一群由FE、iOS和Android工程师共同组成的具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具，是一个可本地部署的、打通前后端及…

 Whippet 2021-07-14 10:52:42

10,226 1 106