爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

小白看得懂的MySQL JDBC 反序列化漏洞分析

# MySQL JDBC 反序列化漏洞深入分析与复现指南 ## 漏洞概述 MySQL JDBC 反序列化漏洞是BlackHat Europe 2019会议上披露的一个安全漏洞，影响MySQL Connector/J（JDBC驱动）。该漏洞允许攻击者通过精心构造的恶意MySQL服务器响应，在客户端触发Java反序列化操作，从而导致远程代码执行（RCE）。 ## 漏洞原理分析 ### 核心漏洞点漏洞存在于MySQL JDBC驱动的以下关键组件中： 1. **ResultSetImpl.

2025-08-20 13:05:41

强制解码越狱大模型

# 强制解码越狱大模型技术解析 ## 1. 安全对齐(Safety Alignment)概述安全对齐(Safety Alignment)是确保AI和大规模语言模型(LLM)行为符合社会伦理和安全标准的技术框架，旨在防止模型产生有害、偏见或不当输出。核心目标包括： - 防止生成暴力、仇恨或非法内容 - 避免传播错误信息和偏见 - 保护用户隐私和数据安全 - 确保模型行为符合部署环境的规范要求 ## 2. 大模型安全防护机制主流LLM通常采用多层防护： ### 2.1 输入过滤层 -

2025-08-20 13:04:25

CNVD-2020-45697——74cms后台SQL注入漏洞

# 74cms后台SQL注入漏洞分析报告 (CNVD-2020-45697) ## 漏洞概述 74cms v3.7版本存在后台SQL注入漏洞，攻击者可在获取后台管理员权限后，通过构造特殊请求实现数据库信息泄露。该漏洞属于高危漏洞，影响系统数据安全。 ## 漏洞发现过程 1. 通过全局搜索`select`语句开始审计 2. 发现`{$参数}`和`uid`参数均无注入风险 3. 审计到第67行SQL语句时发现可疑点 ## 漏洞定位 ### 第一个注入点 - 文件路径：`/admin/ad

2025-08-20 13:03:41

浅谈蚁剑RCE

# 蚁剑RCE漏洞分析与利用技术研究 ## 前言蚁剑(AntSword)是一款流行的开源Webshell管理工具，广泛应用于渗透测试和红队行动中。本文详细分析蚁剑在某些特定场景下存在的远程代码执行(RCE)漏洞，该漏洞源于蚁剑在自定义连接模式下对数据库查询结果未进行适当的HTML转义处理，导致XSS漏洞，进而可升级为RCE。 ## 漏洞发现过程在项目实践中发现，当使用蚁剑连接JSP webshell并执行数据库查询时，数据库中的HTML内容被浏览器解析执行。初步怀疑是JSP webs

2025-08-20 13:02:53

Lerx从SSRF到GetShell

# Lerx CMS SSRF漏洞分析与利用：从SSRF到GetShell ## 漏洞概述 Lerx CMS最新版本(v6.3.0)后台在加载模板时存在SSRF(Server-Side Request Forgery)漏洞，攻击者可利用该漏洞通过远程加载恶意模板文件实现GetShell。 ## 漏洞位置 `lerx_v6.3.0\WebContent\WEB-INF\views\jsp\templet\portal\remote.jsp` ## 漏洞分析 ### 核心问题 1. **SSR

2025-08-20 12:50:53

Apache Ofbiz RCE (CVE-2020-9496) 漏洞分析

# Apache Ofbiz XML-RPC 反序列化漏洞分析 (CVE-2020-9496) ## 漏洞概述 Apache Ofbiz 是一个开源的企业资源规划(ERP)系统，其 `/webtools/control/xmlrpc` 接口存在XML-RPC反序列化漏洞(CVE-2020-9496)，攻击者可通过构造恶意XML请求实现远程代码执行。 ## 环境搭建使用Docker快速搭建测试环境： ```bash docker pull andyjunghans/ofbiz dock

2025-08-20 12:50:03

CVE-2020-15900：Artifex Ghostscript 沙箱破坏漏洞简记

# Ghostscript 沙箱破坏漏洞(CVE-2020-15900)分析与利用 ## 漏洞概述 CVE-2020-15900是Artifex Ghostscript引擎中的一个沙箱破坏漏洞，允许攻击者绕过安全限制执行任意代码。该漏洞存在于Ghostscript v9.50至v9.52版本中，通过特殊的Postscript运算符`rsearch`触发缓冲区长度计算错误，导致内存破坏。 ## 技术背景 ### Ghostscript简介 Ghostscript是Artifex软件公司开

2025-08-20 12:49:13

使用WebLogic CVE-2020-2883配合Shiro rememberMe反序列化一键注入蚁剑shell

# WebLogic CVE-2020-2883配合Shiro rememberMe反序列化注入蚁剑Shell技术分析 ## 技术背景本文详细分析如何利用WebLogic CVE-2020-2883漏洞配合Shiro rememberMe反序列化漏洞实现一键注入蚁剑Shell的技术。该技术结合了两个漏洞的利用链，最终实现了在WebLogic服务器上植入内存WebShell。 ## 前置知识 ### Shiro rememberMe反序列化漏洞 Shiro框架的rememberMe功能

2025-08-20 12:48:09

Hack 虚拟内存系列（一）：C字符串和/proc

# 虚拟内存黑客教学：C字符串与/proc文件系统 ## 1. 概述本教程将指导你如何通过/proc文件系统访问和修改运行中进程的虚拟内存内容，特别是堆中的C字符串。这是"Hack虚拟内存"系列的第一部分，重点介绍基础概念和实际操作。 ## 2. 环境准备 ### 2.1 系统要求 - Ubuntu 14.04 LTS - Linux内核版本: 4.4.0-31-generic - GCC版本: 4.8.4 - Python 3.4.3 ### 2.2 前提知识 - C语言基础 -

2025-08-20 12:46:39

通达OA漏洞利用威胁分析

# 通达OA漏洞利用威胁分析教学文档 ## 0x01 通达OA系统概述通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。 ## 0x02 系统目录结构及版本信息 ### 目录结构 | 目录名称 | 用途 | |---------|------| | attach | OA附件文件存放目录 | | bin | Apache、PHP、Zend等主程序及配置文件，服务配置程序

2025-08-20 12:45:29

Upload与WAF的那些事

抱歉，无法读取该文件。请更新其他文件，我可以为你进行总结。

2025-08-20 12:44:28

记一次内网渗透

抱歉，无法读取该文件。请更新其他文件，我可以为你进行总结。

2025-08-20 12:44:10

跳转到页