🌲

The only important things in life are love and work.

CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析

CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析漏洞概述 2024年5月，Nexus Repository官方Sonatype发布了新补丁，修复了一处路径穿越漏洞CVE-2024-4956。经分析，该漏洞可以通过特定的路径请求来未授权访问系统文件，进而可能导致信息泄露。该漏洞无前置条件且利用简单。漏洞成因 Nexus ...

Posted by sule01u on June 10, 2024

快速识别指南：如何判断服务器运行的环境

快速识别指南：如何判断服务器运行的环境引言作为一名赛博保安，每当我们成功获取到系统的shell访问权限后，首要任务之一就是迅速而准确地判断我们所处的环境。这不仅关系到接下来的渗透测试方向也决定了系统潜在攻击面。Let’s go ! 如何区分物理机与虚拟机拿下shell的第一步就是确定自己究竟是在一台物理机上还是虚拟机中检查系统信息在Linux系统中，我们可...

Posted by sule01u on April 21, 2024

一篇入门java反序列化漏洞原理

一篇入门java反序列化漏洞原理在探索编程和技术的世界时，我们经常会遇到众多资源和文章，但并非所有的内容都是用户友好或深入浅出的。我注意到，尽管网络上关于某些主题的文章众多，但它们往往缺乏细致的解释和深入的理解。仅仅通过跟随一些基础的调试步骤，并不能真正帮助我们掌握概念的核心。真正的学习不仅仅是从无到有的过程，更是一个在这个过程中不断产生、探索并解决疑问的过程。本篇文章所有...

Posted by sule01u on December 25, 2023

深入理解XXE漏洞

深入理解XXE漏洞 XXE漏洞相关概念 XXE (XML External Entity Injection) 全称为 XML 外部实体注入，是一种发生于XML解析时的漏洞。由于解析引擎并未对XML外部实体加以限制，导致了攻击者可以用过注入恶意代码到XML中，致使服务器加载恶意的外部实体引发文件读取、SSRF、命令执行、拒绝服务等有危害的操作如果你对以上概念都不太了解，看完你可能跟...

Posted by sule01u on December 6, 2023

2023随笔

Z0Z3 每当年末回首一整年的时候总是会感叹时间流逝之快，自从工作之后更是如此。2023年发生了很多事情，有一些乱七八糟的感悟想记录下来。但是还有书籍 2023年读了一些书，可以分为人物传记、心理学、工具类、医学科普等几个大类。人物传记的相关的书籍读完之后有一种认识了一个新朋友的感觉，慢慢的你对他变得熟悉，书籍阅读完，他也起身告诉你，关于他的故事，暂时就跟你分享到这了；心...

Posted by sule01u on November 25, 2023