一、漏洞原理： 本地沒有環境：參考：https://blogs.securiteam.com/index.php/archives/3171 進行學習理解記錄。 首先這是一個java反序列化漏洞，一定是command在序列化信息中，反序列化時候直接執行了該命令。 攻擊過程學習： 下文 ...

Jenkins的反序列化漏洞，攻擊者使用該漏洞可以在被攻擊服務器執行任意代碼，漏洞利用不需要任何的權限 漏洞影響范圍： 所有Jenkins主版本均受到影響(包括<=2.56版本)所有Jenkins LTS 均受到影響( 包括<=2.46.1版本) 測試步驟： 1.下載生成反序列 ...

2 Node.js 反序列化漏洞遠程執行代碼（CVE-2017-5941） 2.1 摘要 2.1.1 漏洞介紹 漏洞名稱： Exploiting Node.js deserialization bug for Remote Code Execution 漏洞CVE id ...

目錄： 0x00漏洞描述 0x01影響范圍 0x02漏洞復現 0x03漏洞修復 0x00漏洞描述 CVE-2019-2725是一個Oracle weblogic反序列化遠程命令執行漏洞，這個漏洞依舊是根據weblogic的xmldecoder反序列化漏洞 ...

Weblogic 反序列化遠程代碼執行漏洞 CVE-2019-2725 漏洞描述 2019年06月15日，360CERT監測到在野的Oracle Weblogic遠程反序列化命令執行漏洞，該漏洞繞過了最新的Weblogic補丁（CVE-2019-2725），攻擊者可以發送精心構造的惡意HTTP ...

Shiro對rememberMe的cookie做了加密處理，shiro在CookieRememberMeManaer類中將cookierememberMe字段內容分別進行序列化、AES加密、Base64編碼操作。但是，AES加密的密鑰Key被硬編碼在代碼里，意味着每個人通過源代碼都能漏洞描述拿到 ...

　　本文主要記錄一下JBOSSAS 5.x/6.x 反序列化命令執行漏洞的測試過程 僅供學習 　　文中利用到漏洞環境由phith0n維護: JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149） 　　靶機地址：192.168.1.102 服務端口:8080 ...

://www.zhihu.com/people/jiangxinnju 漏洞介紹 國外的研究人員zero thoughts發現了 ...