信息 ubuntu下搭建 或者利用windows的idea来搭建 攻击 总结 ...

Apache Log4j 漏洞分析 仅用于研究漏洞原理,禁止用于非法用途,后果自负!!! CVE-2019-17571 漏洞描述 Log4j是美国阿帕奇（Apache）软件基金会的一款基于Java的开源日志记录工具。Log4j 1.2版本中包含一个SocketServer类，在未经 ...

Java安全之log4j反序列化漏洞分析 0x00 前言 前段时间在看某个cms代码的时候，发现log4j组件版本存在漏洞，并且开启了端口，但web站点是nginx反向代理的，而在外网并没有开放到该端口，所以并没有利用成功。但该漏洞遇到的比较少，就算一些cms中log4j组件版本存在漏洞 ...

1、漏洞复现 一次内部测试发现某内网应用引用的shiro版本已是1.7.1，仍存在反序列化漏洞。于是使用shiro反序列化工具验证，确实存在反序列化漏洞，通过猜解出shiro key（即RememberMe cookie AES加密的密钥），构造恶意payload反弹shell获取服务器权限 ...

0x00 漏洞背景 ①iiDubbo是一款高性能、轻量1级的开源java Rpc分布式服务框架。 ②核心功能： ◉ 面向接口的远程过程调用 ◉ 集群容错和负载均衡 ◉ 服务自动注册与发现 ③特点： ...

Weblogic反序列化漏洞 0x00 漏洞描述 　　CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞，这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞，通过针对Oracle官网历年来的补丁构造payload来绕过。 0x01 影响 ...

消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验，因此可以造成反序列化执行 ...

信息 漏洞环境的搭建 加速源 攻击 注意的地方 ...