一、漏洞原理： 本地没有环境：参考：https://blogs.securiteam.com/index.php/archives/3171 进行学习理解记录。 首先这是一个java反序列化漏洞，一定是command在序列化信息中，反序列化时候直接执行了该命令。 攻击过程学习： 下文 ...

Jenkins的反序列化漏洞，攻击者使用该漏洞可以在被攻击服务器执行任意代码，漏洞利用不需要任何的权限 漏洞影响范围： 所有Jenkins主版本均受到影响(包括<=2.56版本)所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) 测试步骤： 1.下载生成反序列 ...

2 Node.js 反序列化漏洞远程执行代码（CVE-2017-5941） 2.1 摘要 2.1.1 漏洞介绍 漏洞名称： Exploiting Node.js deserialization bug for Remote Code Execution 漏洞CVE id ...

目录： 0x00漏洞描述 0x01影响范围 0x02漏洞复现 0x03漏洞修复 0x00漏洞描述 CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞，这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞 ...

Weblogic 反序列化远程代码执行漏洞 CVE-2019-2725 漏洞描述 2019年06月15日，360CERT监测到在野的Oracle Weblogic远程反序列化命令执行漏洞，该漏洞绕过了最新的Weblogic补丁（CVE-2019-2725），攻击者可以发送精心构造的恶意HTTP ...

Shiro对rememberMe的cookie做了加密处理，shiro在CookieRememberMeManaer类中将cookierememberMe字段内容分别进行序列化、AES加密、Base64编码操作。但是，AES加密的密钥Key被硬编码在代码里，意味着每个人通过源代码都能漏洞描述拿到 ...

　　本文主要记录一下JBOSSAS 5.x/6.x 反序列化命令执行漏洞的测试过程 仅供学习 　　文中利用到漏洞环境由phith0n维护: JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149） 　　靶机地址：192.168.1.102 服务端口:8080 ...

://www.zhihu.com/people/jiangxinnju 漏洞介绍 国外的研究人员zero thoughts发现了 ...