爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

用友U8 Cloud NCCloudGatewayServlet接口任意文件上传漏洞分析

# 用友U8 Cloud NCCloudGatewayServlet接口任意文件上传漏洞分析 ## 漏洞概述用友U8 Cloud系统的NCCloudGatewayServlet接口存在安全缺陷，攻击者可通过构造特殊请求实现任意文件上传，从而获得服务器控制权限。 ## 漏洞细节 ### 1. 受影响组件 - **接口路径**: NCCloudGatewayServlet - **影响版本**: 用友U8 Cloud 多个版本 - **漏洞类型**: 任意文件上传 ### 2. 漏洞成因

2025-09-30 12:30:07

用友NCCloudGatewayServlet 反射调用命令执行漏洞

该文档没有简介

2025-09-30 12:19:21

用友NCCloudGatewayServlet 反射调用命令执行漏洞

# 用友NC Cloud GatewayServlet 反序列化远程代码执行漏洞分析 ## 1. 漏洞概述 **漏洞名称：** 用友NC Cloud GatewayServlet 反序列化远程代码执行漏洞 **漏洞类型：** 反序列化漏洞 -> 远程代码执行 (RCE) **危险等级：** 严重 (Critical) **影响组件：** 用友NC Cloud 系统内的 `nccloudgateway.GatewayServlet` 组件。 **漏洞描述：** 该漏洞源于用友

2025-09-30 12:19:21

从JFinal4.5 CMS 接触JAVA代码审计

该文档没有简介

2025-09-30 12:18:11

从JFinal4.5 CMS 接触JAVA代码审计

# JFinal4.5 CMS Java代码审计教学文档 ## 一、web.xml与pom.xml文件分析 ### 1.1 web.xml 文件的作用 #### 基本配置功能 - **定义应用名称和上下文路径**：通过``标签定义Web应用在服务器管理界面显示的名称 - **设置欢迎页面**：使用``标签指定用户访问根目录时的默认页面 ```xml login.jsp ``` #### Servlet配置 - **Servlet定义和映射**：配置Serv

2025-09-30 12:18:11

深入CVE-2025-41243： Spring Cloud Gateway SpEL 从任意属性访问到任意文件下载

该文档没有简介

2025-09-30 12:17:17

深入CVE-2025-41243： Spring Cloud Gateway SpEL 从任意属性访问到任意文件下载

# **CVE-2025-41243：Spring Cloud Gateway SpEL注入漏洞深入分析与利用** ## **1. 漏洞概述** **CVE编号**：CVE-2025-41243 **漏洞类型**：SpEL (Spring Expression Language) 表达式注入 **影响组件**：Spring Cloud Gateway **漏洞评级**：Critical (10.0分) **触发条件**：在热更新路由配置时，攻击者能够控制路由配置中的参数值，并使其被解析为S

2025-09-30 12:17:17

某次内部行业渗透测试&攻防演练多个系统从资产打点到RCE漏洞

该文档没有简介

2025-09-30 12:16:08

某次内部行业渗透测试&攻防演练多个系统从资产打点到RCE漏洞

## 内部行业渗透测试与攻防演练实战技术教学文档 ### 0x1 前言本文档基于一次有授权且漏洞已修复的内部渗透测试与攻防演练实战经验总结。目标是在一周周期内，通过对指定资产的系统化信息收集、打点渗透，最终获取多个系统的远程代码执行（RCE）权限。本文旨在详细阐述从资产发现到漏洞利用的完整方法论、工具链和实战案例。 ### 0x2 攻防演练简介与核心要点 **一、攻防演练定义** 模拟真实攻击（红队）与防御（蓝队）的对抗活动，旨在评估并提升组织的安全防护、检测、响应和恢复能力。 *

2025-09-30 12:16:08

提示词注入实战—通过在线靶场看提示词注入手法

该文档没有简介

2025-09-30 12:14:35

提示词注入实战—通过在线靶场看提示词注入手法

### **提示词注入（Prompt Injection）实战教学文档** #### **一、文档概述** 本教学文档基于奇安信攻防社区提供的在线靶场，旨在系统性地阐述提示词注入（Prompt Injection）的攻击手法、核心原理及防御思路。提示词注入是攻击者通过构造特定输入，篡改或覆盖大型语言模型（LLM）的原始指令，从而破坏其预期行为、绕过安全限制或泄露敏感信息的一种攻击方式。本教程将遵循从原理到实战的路径，详细解析这一攻击模式。 #### **二、核心概念：提示词注入**

2025-09-30 12:14:35

记一次安服仔薅洞实战（lucky）

该文档没有简介

2025-09-30 12:13:46

跳转到页