​ (CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞 一、漏洞描述 Liferay Portal CE是一款用来快速构建网站的开源系统。其7.2.0 GA1及以前的版本API接口中存在一处反序列化漏洞，利用该漏洞可在目标服务器上执行任意命令 ...

前言 Xstream是一个基于java语言的xml操作类库，同时也是Java对象和XML相互转换的工具，提供了所有的基础类型、数组、集合等类型直接转换的支持。因此XML常用于数据交换、对象序列化。本文将从Xstream的环境搭建到CVE-2020-26217远程代码执行漏洞的复现分析做一个记录 ...

CVE-2020-2555的过程，并分享一个区别于公开poc的利用TemplateImpl类实现单次反射进行r ...

CVE-2020-2555漏洞复现&&流量分析 一、准备环境 windows7: weblogic 12.2.1.4.0 JDK版本为jdk-8u261 关于weblogic搭建可以看我上一篇文章 https://www.cnblogs.com/Zh1z3ven/p ...

CVE-2020-2883漏洞复现&&流量分析 写在前面 网上大佬说CVE-2020-2883是CVE-2020-2555的绕过，下面就复现了抓包看看吧。 一、准备环境 靶机：win7 weblogic 12.2.1.4.0 jdk1.8 攻击机：物理机 poc ...

一、漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器.默认情况下,Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过 ...

该笔记参考网络中的文章，本文仅为了学习交流，严禁非法使用！！！ (随笔仅为平时的学习记录，若有错误请大佬指出) 漏洞简介 Tomcat服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用 ...

一、漏洞描述 Tomcat是Apache开源组织开发的用于处理HTTP服务的项目，两者都是免费的，都可以做为独立的Web服务器运行。Apache Tomcat服务器存在 ...