爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

# LFI to RCE 漏洞利用技术详解 ## 一、漏洞背景本文基于[HITCON CTF 2018]One Line PHP Challenge题目环境，分析如何从本地文件包含(LFI)漏洞实现远程代码执行(RCE)。题目环境为Ubuntu 18.04 + PHP 7.2 + Apache。 ## 二、漏洞代码分析题目源码极为简洁： ```php 126的字符时进入特定分支 2. `lbchars_len`变量未初始化 3. 通过控制`lbchars_len`值可导致整数溢出 4

2025-08-27 23:20:21

关于SSTI注入的二三事

该文档没有简介

2025-08-27 23:19:37

关于SSTI注入的二三事

# SSTI（服务端模板注入）深入分析与利用指南 ## 1. SSTI基础概念 ### 1.1 什么是SSTI SSTI（Server-Side Template Injection）即服务端模板注入，是由于接受用户输入而造成的安全问题，与SQL注入有相似性。其本质在于服务器端接受了用户的输入，未经充分过滤就将用户输入作为Web应用模板的一部分，在编译渲染过程中执行了恶意代码。 ### 1.2 模板与模板引擎模板是一段包含可动态替换部分的文本，如`print("hello{usernam

2025-08-27 23:19:37

老曲新唱之XXL-JOB未授权Hessian2反序列化调试分析

该文档没有简介

2025-08-27 23:18:14

老曲新唱之XXL-JOB未授权Hessian2反序列化调试分析

# XXL-JOB未授权Hessian2反序列化漏洞分析与利用 ## 漏洞概述 XXL-JOB是一个分布式任务调度平台，在版本<=2.0.2中存在Hessian2反序列化漏洞。该漏洞源于两个关键问题： 1. API接口存在未授权访问问题 2. 使用了不安全的Hessian2反序列化实现攻击者可以利用此漏洞在目标服务器上执行任意代码，危害极大。 ## 漏洞分析 ### 1. 未授权访问问题漏洞的核心在于权限校验的缺失。在XXL-JOB的代码中，判断是否有权限限制时默认返回了`fal

2025-08-27 23:18:14

企业微信+腾讯IM密钥泄漏利用

该文档没有简介

2025-08-27 23:17:33

企业微信+腾讯IM密钥泄漏利用

# 企业微信与腾讯IM密钥泄漏利用分析 ## 一、背景概述本文档详细分析企业微信access_token和腾讯IM密钥泄漏后的利用过程，涵盖从信息收集到权限提升的完整攻击链。 ## 二、企业微信access_token泄漏利用 ### 1. 获取access_token 通过泄漏的企业ID(corpid)和应用密钥(corpsecret)获取access_token： ``` https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=YO

2025-08-27 23:17:33

基于TFIDF的违法网站识别

该文档没有简介

2025-08-27 23:16:30

基于TFIDF的违法网站识别

# 基于TFIDF的违法网站识别技术详解 ## 1. 背景与概述违法网站识别是网络安全监管的重要任务，本文介绍了一种基于TFIDF算法的自动化违法网站检测方法。该方法通过分析网页特定标签内容，结合关键词库和机器学习算法，实现了对违法网站的高效识别。 ## 2. 违法网站分类 ### 2.1 暗链 - 在网站title、meta中插入违法关键词 - 表面无异常，源代码或搜索引擎结果中可见 - 主要用于SEO提升和特定访问渠道跳转 ### 2.2 明链 - 直接在网站中插入违法跳转语句

2025-08-27 23:16:30

危险的target —— 另一种攻击方式

该文档没有简介

2025-08-27 23:05:38

危险的target —— 另一种攻击方式

# 危险的target属性攻击方式详解 ## 1. 传统opener攻击回顾在HTML中，当使用`target="_blank"`打开新页面时，新页面可以通过`window.opener`对象控制源页面的URL，这可能导致钓鱼攻击： ```html 点击这里 ``` 新打开的页面可以通过JavaScript修改原页面的URL： ```javascript window.opener.location = 'https://evil.com/phishing-page'; ``` ##

2025-08-27 23:05:38

Hack With Rewrite

该文档没有简介

2025-08-27 23:05:01

跳转到页