契约锁电子签章系统 pdfverifier 远程代码执行漏洞分析(补丁包逆向分析)

契约锁,是一个电子签章及印章管控平台,提供的电子文件具有与纸质文件一样的法律效力。2025年7月,契约锁发布安全补丁修复了远程代码执行漏洞。该漏洞允许未授权攻击者通过特定方式在服务器上执行任意代码。

漏洞分析 · 120浏览 · 2025-07-21 05:57
【JAVA代码审计入门】OWASP-WebGoat8.X靶场代码审计大全

6万字奶爸级WebGoat8.X靶场代码审计大全,全文均可复现,适合刚学完JavaSE准备开始代码审计的师傅

WEB安全 · 70浏览 · 2025-07-18 08:19
2025L3HCTF-tellmewhy详解

2025L3HCTF-tellmewhy详解以及多种入口

CTF · 30浏览 · 2025-07-18 00:27
Arthas在内存马查杀中的应用

Arthas在内存马查杀中的应用

渗透测试 · 875浏览 · 2025-07-15 06:37
大模型编排框架攻防(以LangChain为例)

我们在本文中主要以LangChain为例,总结分析其面临的典型漏洞(包括CVE以及框架特有的安全风险),并尝试将其与OWASP指南进行映射,随后给出一些我们自己总结的缓解措施

AI专栏 · 470浏览 · 2025-07-10 17:21
从一次waf绕过来学习.Net javascriptserializer反序列化漏洞

这个如果直接是net的dll,加载后不能触发静态构造函数,所以是不能进行rce的,需要结合HelpText属性中的getter方法触发构造函数从而rce(在实例化了 SimpleTypeResolver类可以用,这里是直接传入type使用不了) 解决办法是在Assembly.LoadFrom加载的时候会执行DllMain() 从而让它加载 mixed assemblies(混合程序集)来实现rce

WEB安全 · 522浏览 · 2025-07-10 02:07
COFF文件解析 | CoffLdr

对CofLdr的实现,补足了一些其他C2对CoffLdr实现过程的缺失

二进制安全 · 532浏览 · 2025-07-09 18:03
Merlin Agent木马破绽:内存密钥暴露与加密流量破解全解

内存提取密钥解密Merlin Agent加密流量

二进制安全 · 301浏览 · 2025-07-07 12:29
Gogs最新RCE分析与利用详情

Gogs最新RCE分析与利用详情

漏洞分析 · 6362浏览 · 2025-07-05 10:51
MCP特性及攻击面

随着 MCP 的广泛应用,其潜在的安全漏洞和攻击面也日益受到研究人员和安全专家的关注

AI专栏 · 3150浏览 · 2025-06-30 16:21
使用CodeQL挖掘Spring中的大量赋值漏洞

本文介绍了什么大量赋值漏洞(Mass Assignment Vulnerabiltiy),并以CVE-2025-6702为例,分享了笔者是如何使用CodeQL去挖掘Spring中的大量赋值漏洞。

WEB安全 · 1565浏览 · 2025-06-27 08:17
阿里云jtools详解及codeql分析调用链

阿里云jtools详解及codeql分析调用链

CTF · 1801浏览 · 2025-06-27 03:46
Mysql注入中锁机制的应用

前言在sql注入的延时注入中,常见的函数有sleep()直接延时、BENCHMARK()通过让数据库进行大量的计算而达到延时的效果、笛卡尔积、正则匹配等,但还有一个常常被忽略的函数,也就是Mysql中的锁机制。虽然早些年就已经出现过相关的技术文章,但是他的应用却几乎见不到,也没有看到有文章对他的机制和运用进行深入讲解,而且该函数也常常被waf忽略导致延时。Mysql锁机制介绍函数介绍GET_LOC

漏洞分析 · 1697浏览 · 2025-06-26 17:39
突破网络限制,Merlin Agent助你轻松搭建跳板网络!

跳板技术研究及实操、proxy代理技术研究及实操、模拟构建多层跳板网络

二进制安全 · 2410浏览 · 2025-06-25 12:19
简约版