0x01影响范围 Apache OFBiz < 17.12.06 0x02漏洞复现步骤 ysoserial生成URLDNS利用链 Encode得到的dns.ot encode脚本 打POC POC DNSLOG回显 ...

[CVE-2020-1948] Apache Dubbo 反序列化漏洞分析 简介 Dubbo 是一款高性能、轻量级的开源 Java RPC 框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。 POC https ...

本文是i春秋论坛作家「Ybwh」表哥原创的一篇技术文章，浅析CVE-2020-9484 Apache Tomcat反序列化漏洞。 01漏洞概述 这次是因为错误配置和org.apache.catalina.session.FileStore的LFI ...

一、实验简介 实验所属系列： 系统安全 实验对象：本科/专科信息安全专业 相关课程及专业： 计算机网络 实验时数（学分）：2 学时 实验类别： 实践实验类 二、实验目的 Apache Dubbo是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力 ...

Apache OFBiz rmi反序列化(CVE-2021-26295)复现 一、漏洞描述 Apache OFBiz存在RMI反序列化前台命令 ...

tomcat session持久化 简介 对 于一个企业级应用而言，Session对象的管理十分重要。Sessio对象的信息一般情况下置于服务器的内存中，当服务器由于故障重启，或应用重新加载 时候，此时的Session信息将全部丢失。为了避免这样的情况，在某些场合可以将服务器的Session ...

消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验，因此可以造成反序列化执行 ...

1. 前言 最近工作上刚好碰到了这个漏洞，当时的漏洞环境是： shiro-core 1.2.4 commons-beanutils 1.9.1 最终利用ysoserial的CommonsBeanutils1命令执行。 虽然在ysoserial里 ...