openssl rsa加密问题
请问下各位大佬, 网页中的一段rsa加密代码: key="B60884BBBD8F0EB388B5496984853805A0DA4F2C0DB650E1D42776C67C14309D932E551B859DEEF6D7C38FB2C8E4F9743491A728AFD0062B077EDB2AE6B95925"; rsa.setPublic(key,'10001'); ........///上面这种加密是对应openssl rsa中那个模式呢? 如图,无从下手啊,只有这个key。回答你得看这个 rsa...
2024-01-10
Ingreslock后门漏洞
一、简介1524端口 ingreslock Ingres 数据库管理系统(DBMS)锁定服务利用telnet命令连接目标主机的1524端口,直接获取root权限。Ingreslock后门程序监听在1524端口,连接到1524端口就可以直接获得root权限, 经常被用于入侵一个暴露的服务器。二、 利用nmap工具扫描目标主机1.1 使用nmap命令对目标主机进行扫...
2024-01-10
Fastjson 反序列化漏洞史
作者:Longofo@知道创宇404实验室 时间:2020年4月27日 英文版本:https://paper.seebug.org/1193/Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比...
2024-01-10
ApachePoiXXEAnalysis漏洞分析
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任...
2024-01-10
使用openssl 生成免费证书的方法步骤
一:什么是openssl? 它的作用是?应用场景是什么?即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape(网景)公司在推出第一个Web浏览器的同...
2024-01-10
sudo 历史漏洞回顾
作者:Strawberry@ QAX A-TEAM 原文链接:https://mp.weixin.qq.com/s/wHwLh0mI00eyRHw8j3lTngsudo 的全称是“superuserdo”,它是Linux系统管理指令,允许用户在不需要切换环境的前提下以其它用户的权限运行应用程序或命令,通常是以 root 用户身份运行命令,以减少 root 用户的登录和管理时间,同时提高安全性。sudo的存...
2024-01-10
node14有什么漏洞?
公司要进行攻防演练,领导让我把老项目的node包升级下,经过一番思索发现vue打包后就跟node没什么关系了,node只是开发人员在本地运行代码所需的一个环境。告诉领导后,领导说打包用的是node14的语法,node14现在不维护了,那在这些语法里会不会有一些漏洞?我是觉得应该是没有的吧!但又不好没有依据的直接回。 所以,问下各位大佬这个会有漏洞吗?回答:没有 "node14 语法"这种东西(...
2024-02-06
网站服务器php eval()漏洞
周前,我账号下的几台服务器,有一台是朋友的,挂着他公司的网站,不知道,从月初开始,一直收到挂马的短信通知,更离谱的是成了肉鸡,流量异常,在远程DDoS别的机器,这万一让服务商吧服务器给处罚了......就不好了。开始我也没在乎,也许是被扫到了。但是成了肉鸡之后,我决定看一下。...
2024-01-10
FastJson历史漏洞研究(二)
作者:天融信阿尔法实验室原文链接:https://mp.weixin.qq.com/s/FORG5-_fPsFUW91SS4FjZQ前言本文衔接上一篇文章《FastJson历史漏洞研究(一)》,继续探讨一下FastJson的历史漏洞。这次将要介绍的是Fastjson 1.2.47版本存在的漏洞成因以及其利用方式。Fastjson 1.2.47漏洞分析Fastjson 1.2.47版本漏洞与上篇文章中介绍的...
2024-01-10
FastJson历史漏洞研究(一)
作者: 天融信阿尔法实验室公众号:https://mp.weixin.qq.com/s/nj0sKPaXXw_a2sjJD660Bw0x00 前言本文衔接上一篇文章《Fastjson1.2.24反序列化漏洞深度分析》,继续探讨一下FastJson的历史漏洞。在《Fastjson 1.2.24反序列化漏洞深度分析》一文中,我们以Fastjson 1.2.24反序列化漏洞为基础,详细分析fastjson漏洞的一些细节...
2024-01-10
Defi?Uniswap 项目漏洞教程新骗局
作者:极光 @ 知道创宇404区块链安全研究团队时间:2020年8月31日前言昨晚突然看到群里的一个消息,揭秘uniswap-defi项目漏洞-割韭菜新手法,心想还有这事?而且还是中英文介绍。到底什么是DeFi?,网络上有很多关于 DeFi的定义,目前通用的定义是这样的:DeFi是自己掌握私钥,以数字货币为主体的...
2024-01-10
从零带你看 struts2 中 ognl 命令执行漏洞
作者:medi0cr1ty @ QAX CERT原文链接:https://mp.weixin.qq.com/s/RSs7MxolwGhjtENfNx1oTghi!! 新面孔打个招呼~最近花了蛮长时间看 Struts2 的漏洞,可能某些安全研究人员(像我)会选择 Struts2 作为入手 java 研究的第一个框架,毕竟最早实现 MVC(Model+View+Controller) 模式的 java web 框架就是 struts 了。所以输出这篇文章记...
2024-01-10
用维阵还原 Zyxel 后门漏洞
作者:km1ng@极光无限维阵漏洞团队原文链接:https://mp.weixin.qq.com/s/Ol3B3PFLLXLFF8ThA9nxEg一、简介荷兰网络安全公司Eye Control的安全研究人员发现,超过10万个合勤科技(Zyxel)公司的防火墙、接入点控制器和VPN网关产品中存在管理员级后门账户。这些在二进制代码中硬编码的管理员级别账户使攻击者可通...
2024-01-10
JavaMelody 组件 XXE 漏洞解析
作者:EnsecTeam公众号:EnsecTeam0x00 概述JavaMelody是一个用来对Java应用进行监控的组件。通过该组件,用户可以对内存、CPU、用户session甚至SQL请求等进行监控,并且该组件提供了一个可视化界面给用户使用。最近,该组件被爆出一个XXE漏洞——CVE-2018-15531,由于该组件的启动特性,攻击者无需特定的权...
2024-01-10
如何保护自己免受Meltdown和Spectre CPU漏洞的侵害
实际上,每个现代处理器都容易受到攻击。 当这些修补程序可用时,我们将对其进行更新。研究人员在周三发现,现代处理器中存在严重缺陷,几乎可以影响过去二十年中发布的每台英特尔计算机,以及笔记本电脑,平板电脑和手机中的AMD和Arm芯片。 5月21日,研究人员发现了第四个变种。在这里阅...
2024-01-10
DNSpooq 系列漏洞分析与复现
作者:启明星辰ADLab 原文链接:https://mp.weixin.qq.com/s/JtPEWD66yhhRWe_MpnPMaQ1 前言近期,以色列安全咨询企业JSOF在最新报告中披露了七个 DNSmasq 漏洞(统称 DNSpooq),并指出攻击者借此感染了数以百万计的设备。DNSmasq 是一套流行的开源 DNS 转发软件,能够为运行该软件的网络设备添加 DNS 缓存和 DHCP 服务...
2024-01-10
从反序列化到类型混淆漏洞——记一次 ecshop 实例利用
作者:LoRexxar'@知道创宇404实验室时间:2020年3月31日English Version: https://paper.seebug.org/1268本文初完成于2020年3月31日,由于涉及到0day利用,所以于2020年3月31日报告厂商、CNVD漏洞平台,满足90天漏洞披露期,遂公开。前几天偶然看到了一篇在Hackerone上提交的漏洞报告,在这个漏洞中,漏洞发现者提出了...
2024-01-10微软、谷歌和Atlassian全都调高了漏洞报告奖励
GitLab与其他多家公司一道,纷纷增加对研究人员发现并报告软件漏洞的奖金。两年来,微软、谷歌和Atlassian全都调高了漏洞报告奖励。DevOps平台GitLab宣布已将关键漏洞赏金上调75%,承诺为关键问题支付2万到3.5万美元,并调高其他严重漏洞的奖金支付上限(调高50%)。GitLab与其他多家公司一道,纷纷增加对...
2024-01-10
.NET 高级代码审计(第二课) Json.Net 反序列化漏洞
原文来自安全客,作者:Ivan1ee@360云影实验室原文链接:https://www.anquanke.com/post/id/172920 相关阅读:《.NET 高级代码审计(第一课)XmlSerializer 反序列化漏洞》《.NET高级代码审计(第三课)Fastjson反序列化漏洞》《.NET高级代码审计(第四课) JavaScriptSerializer 反序列化漏洞》《.NET高级代码审计(第五...
2024-01-10
Confluence 路径穿越漏洞分析(CVE-2019-3398)
作者:Lucifaer博客:https://www.lucifaer.com/0x01 漏洞概述Confluence Server and Data Center had a path traversal vulnerability in the downloadallattachments resource. A remote attacker who has permission to add attachments to pages and / or blogs, or to create a new...
2024-01-10
路由器漏洞复现终极奥义——基于 MIPS 的 shellcode 编写
原文来自安全客,作者:desword原文链接:https://www.anquanke.com/post/id/153725前言今天我们来聊聊如何在MIPS架构中编写shellcode。在前面的两篇文章中,我们分别介绍了基于MIPS的缓冲区溢出实践,以及进一步的如何利用学到的溢出知识复现与验证路由器的漏洞。但是在上文的路由器漏洞利用的例子里面,我...
2024-01-10
CVE-2019-11581 Atlassian Jira未授权模板注入漏洞分析
作者:绿盟科技伏影实验室本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送! 投稿邮箱:paper@seebug.org环境搭建使用atlas-debug调试下载安装Atlassian SDK,地址;atlas-create-jira-plugin创建一个插件,参考;atlas-debug开启调试,http端口2990,调试端口5005;IDEA打开MyPlugin,把WEB-INF/classes和WE...
2024-01-10
Fastjson1.2.6 6 远程代码执行漏洞分析复现含 4 个 Gadget 利用 Poc 构造
作者:Ja0k@SecurityCN 时间:2020年3月22日一、事件背景近日,Fastjson发布了新版本1.2.67新增了autoType黑名单,在1.2.66及之前版本中存在大量通过JNDI注入绕过黑名单限制的而导致远程代码执行漏洞,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。二、漏洞...
2024-01-10
openssl查看证书
查看证书# 查看KEY信息> openssl rsa -noout -text -in myserver.key# 查看CSR信息> openssl req -noout -text -in myserver.csr# 查看证书信息> openssl x509 -noout -text -in ca.crt# 验证证书# 会提示self signed> openssl verify selfsign.crt# 因为myserver.crt 是幅ca.crt发布的,所以会验证成功> openssl verif...
2024-01-10如何使用公钥在openssl中加密大文件
如何使用公共密钥加密大文件,以使只有拥有私有密钥的人才能解密该文件?我可以使RSA公共和私有密钥生效,但是在使用以下命令加密大型文件时:openssl rsautl -encrypt -pubin -inkey public.pem -in myLargeFile.xml -out myLargeFile_encrypted.xml以及如何执行解密…我通过以下命令创建我的私钥和公钥openssl genrsa -out pr...
2024-01-10AES-Java中的简单加密,使用openssl解密
我正在尝试使用Java Cryto在Java中进行简单的AES加密,然后可以使用OpenSSL在ObjectiveC中对其进行解密。因为我没有在ObjectiveC方面进行操作,所以我想使用openSSL命令行确保它可以正常工作,但是我总是会收到“错误的魔术数字”这是我的Java代码public class EncryptionUtils {private static final String AES_CIPHER_METHOD = "...
2024-01-10
