avatar
文章
12
标签
7
分类
1
Home
友链
JYli's blog浅析pdf/csv/svg文件上传
搜索
Home
友链

浅析pdf/csv/svg文件上传

发表于2026-04-22|更新于2026-05-16
|浏览量:

参考文章:
xss pdf制作-先知社区
CSV注入详解-先知社区
安服水洞系列|02. pdf XSS - FreeBuf网络安全行业门户
https://zone.huoxian.cn/d/2928-src-xss
https://www.cnblogs.com/Eleven-Liu/p/12397857.html

文章作者: JYli
文章链接: https://jyli1.github.io/2026/04/22/%E6%B5%85%E6%9E%90pdf-csv-svg%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 JYli's blog!
网络安全
上一篇
构建高效能Agent的学习笔记
前言最近在关注Agent相关的技术。今天学习了Anthropic的一篇关于构建高效能agent的文章,里面提到了几种不同的agent和workflow的设计模式,感觉很有启发。特此记录一下,方便日后参考。 核心理念:Workflow vs. Agent在开始构建之前,首先要分清两个核心概念:Workflow 和 Agent。 我们很多人一上来就想构建一个全自动的agent,但Anthropic建议,应该从更简单的workflow开始。 Workflow:指的是一系列预定义好的、由代码控制的步骤。它的路径是固定的,擅长处理目标明确、流程固定的任务。你可以把它想象成一条固定的流水线,非常稳定可靠。 Agent:则是由大模型(LLM)自己动态决定下一步该做什么,调用什么tool。它更加灵活,适合处理那些无法预知具体步骤的开放式问题。 文章的核心观点是:能用简单的Workflow解决的,就不要轻易上复杂的Agent。因为agent会带来更高的成本和延迟。 常见的Agent Workflow模式文章总结了几种非常实用的模式,从简单到复杂,可以组合使用。 1. Prompt...
下一篇
关于maven的命令执行漏洞
前置知识maven是什么我们先来看看一个Java项目需要的东西。首先,我们需要确定引入哪些依赖包。例如,如果我们需要用到commons logging,我们就必须把commons...
相关推荐
2026-05-02
关于maven的命令执行漏洞
前置知识maven是什么我们先来看看一个Java项目需要的东西。首先,我们需要确定引入哪些依赖包。例如,如果我们需要用到commons logging,我们就必须把commons...
2026-05-12
从0到1的渗透靶机复盘(1)——java-rce、软连接覆盖、maven-rce横移链
靶机来自 MazeSec(迷踪安全):https://maze-sec.com/about/靶机名:Pom作者 :Sublarge AI 总结 这篇复盘记录了一台 Linux 靶机从信息收集到 root 提权的完整过程。整体思路是:先通过 nmap / rustscan 发现异常端口 55555,再使用 openssl 连接 SSL 服务拿到初始 shell;随后进行本地信息收集,利用密钥文件解出 SSH 密码,稳定登录后通过 sudo -l 分析权限,依次借助 Java 执行、软链接覆盖和 Maven 插件命令执行完成横向移动与提权。 核心知识点包括:端口扫描与服务识别、异常端口利用、socat shell 原理、Linux 本地枚举、密钥文件解密、sudo 权限分析、Java 代码执行、软链接利用,以及 Maven...
2026-06-02
从0到1的渗透靶机复盘(3)——jwt伪造、sqlite注入、zip提权
靶机来自 MazeSec(迷踪安全):https://maze-sec.com/about/靶机名:Watcher作者 :Yolo 也是很久没有打了,前面的都是打完很久才来复盘。这次来个新鲜的,刚出来,今天刚打完的靶机。关于靶机配置之前讲过了,这里就不多说了。 最近换成用wsl的kali了,只能是nat网络,所以靶机都用的Host-only,所以都是走的...
2026-05-26
从0到1的渗透靶机复盘(2)——vnc密码复用、默认终端nologin绕过、定时任务提权
靶机来自 MazeSec(迷踪安全):https://maze-sec.com/about/靶机名:MM作者 :dsz AI总结 今天复盘一下MM靶机。为了防止有新手不知道打靶机的流程,这次从部署环境开始。(因为我一开始是打ctf的,第一次打靶机还真不知道怎么开始) 环境搭建本次教程都以MazeSec自制靶机举例,其他的都万变不离其宗。我们首先下载好靶机环境文件,一般都是一个ova文件。全称:Open Virtualization Appliance(开放虚拟化设备)其中包括了完整配置信息和虚拟磁盘数据(也就是打开即用的虚拟机,基本不需要在配置,除了网络之类的) 拿到靶机后我们用...
avatar
JYli
文章
12
标签
7
分类
1
welcome to my github
公告
欢迎来到我的博客!
最新文章
从0到1的渗透靶机复盘(3)——jwt伪造、sqlite注入、zip提权2026-06-02
从0到1的渗透靶机复盘(2)——vnc密码复用、默认终端nologin绕过、定时任务提权2026-05-26
从0到1的渗透靶机复盘(1)——java-rce、软连接覆盖、maven-rce横移链2026-05-12
关于maven的命令执行漏洞2026-05-02
浅析pdf/csv/svg文件上传2026-04-22
©2019 - 2026 By JYli
框架 Hexo 7.3.0|主题 Butterfly 5.3.5
搜索
数据加载中