基础知识 MQ(Message Queue)：消息队列/消息中间件。消息服务将消息放在队列／主题中，在合适时候发给接收者。发送和接收是异步的（发送者和接收者的生命周期没有必然关系）。 队列： ...

Apache ActiveMQ序列化漏洞(CVE-2015-5254)复现 一、漏洞描述 该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码。 二、漏洞影响版本 Apache ...

ActiveMQ 反序列化漏洞(CVE-2015-5254) 漏洞详情 ActiveMQ启动后，将监听61616和8161两个端口，其中消息在61616这个端口进行传递，使用ActiveMQ这个中间件的程序也通过这个端口工作，8161是Web服务的端口，通过Web页面可管理ActiveMQ ...

JBOSS反序列化漏洞 环境: vulfocus jboss CVE-2015-7501 云服务器 kali攻击机 基本原理:JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象，可以通过Apache Commons ...

基础知识 WebLogic是Orcale出品的一个application server，是J2EE构架中的一部分，具体构架如下(图片来源：https://www.bilibili.com/video/av53746375?p=1) 漏洞原理 远程攻击者可利用该漏洞在未授权的情况下 ...

01漏洞描述 — Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞（CVE-2019-17564）,该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后，Apache Dubbo对消 ...

CVE-2016-7124php反序列化漏洞复现 0X00漏洞原因 如果存在__wakeup方法，调用 unserilize() 方法前则先调用__wakeup方法，但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行 0X01漏洞影响版本 PHP5 ...

漏洞描述 Apache Shiro是一个Java安全框架，执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露，无论shiro是什么版本都会导致反序列化漏洞。 漏洞原理 Apache Shiro框架提供了记住我（RememberMe）的功能，关闭了浏览器下次再打 ...