🌲

The only important things in life are love and work.

大模型反序列化导致的RCE漏洞

大模型反序列化导致的RCE漏洞 话说最近字节实习生通过编写、篡改代码等形式恶意攻击团队研究项目模型训练任务的事闹的沸沸扬扬,那气氛都到这了,我们来聊聊大模型的漏洞吧 引言 这可以从CVE-2024-3568开始聊聊, CVE-2024-3568是Huggingface的Transformers库中存在的一个反序列化漏洞,影响版本为4.38.0及之前的版本。该漏洞源于TFPreT...

Posted by sule01u on December 7, 2024

CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析

CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析 漏洞概述 2024年5月,Nexus Repository官方Sonatype发布了新补丁,修复了一处路径穿越漏洞CVE-2024-4956。经分析,该漏洞可以通过特定的路径请求来未授权访问系统文件,进而可能导致信息泄露。该漏洞无前置条件且利用简单。 漏洞成因 Nexus ...

Posted by sule01u on June 10, 2024

快速识别指南:如何判断服务器运行的环境

快速识别指南:如何判断服务器运行的环境 引言 作为一名赛博保安,每当我们成功获取到系统的shell访问权限后,首要任务之一就是迅速而准确地判断我们所处的环境。这不仅关系到接下来的渗透测试方向也决定了系统潜在攻击面。Let’s go ! 如何区分物理机与虚拟机 拿下shell的第一步就是确定自己究竟是在一台物理机上还是虚拟机中 检查系统信息 在Linux系统中,我们可...

Posted by sule01u on April 21, 2024

jdbc之文件读取

JDBC漏洞利用之客户端文件读取 前序 开局放上一张云舒大佬的一条老微博截图,if 你还不知道这个图中文字啥意思,then 就跟小编一起来一探究竟吧 What is JDBC JDBC的全称是Java数据库连接(Java Database connect),它是一套用于执行SQL语句的Java API。应用程序可通过这套API连接到关系数据库,并使用SQL语句来完成对数据库...

Posted by sule01u on January 27, 2024

一篇入门java反序列化漏洞原理

一篇入门java反序列化漏洞原理 在探索编程和技术的世界时,我们经常会遇到众多资源和文章,但并非所有的内容都是用户友好或深入浅出的。我注意到,尽管网络上关于某些主题的文章众多,但它们往往缺乏细致的解释和深入的理解。仅仅通过跟随一些基础的调试步骤,并不能真正帮助我们掌握概念的核心。真正的学习不仅仅是从无到有的过程,更是一个在这个过程中不断产生、探索并解决疑问的过程。 本篇文章所有...

Posted by sule01u on December 25, 2023

特色标签
渗透测试 系统
关于我

嘎嘎干!!!