0x01影響范圍 Apache OFBiz < 17.12.06 0x02漏洞復現步驟 ysoserial生成URLDNS利用鏈 Encode得到的dns.ot encode腳本 打POC POC DNSLOG回顯 ...

[CVE-2020-1948] Apache Dubbo 反序列化漏洞分析 簡介 Dubbo 是一款高性能、輕量級的開源 Java RPC 框架，它提供了三大核心能力：面向接口的遠程方法調用，智能容錯和負載均衡，以及服務自動注冊和發現。 POC https ...

本文是i春秋論壇作家「Ybwh」表哥原創的一篇技術文章，淺析CVE-2020-9484 Apache Tomcat反序列化漏洞。 01漏洞概述 這次是因為錯誤配置和org.apache.catalina.session.FileStore的LFI ...

一、實驗簡介 實驗所屬系列： 系統安全 實驗對象：本科/專科信息安全專業 相關課程及專業： 計算機網絡 實驗時數（學分）：2 學時 實驗類別： 實踐實驗類 二、實驗目的 Apache Dubbo是一款高性能、輕量級的開源Java RPC框架，它提供了三大核心能力 ...

Apache OFBiz rmi反序列化(CVE-2021-26295)復現 一、漏洞描述 Apache OFBiz存在RMI反序列化前台命令 ...

tomcat session持久化 簡介 對 於一個企業級應用而言，Session對象的管理十分重要。Sessio對象的信息一般情況下置於服務器的內存中，當服務器由於故障重啟，或應用重新加載 時候，此時的Session信息將全部丟失。為了避免這樣的情況，在某些場合可以將服務器的Session ...

消費者遠程調用的POST請求並執行一個反序列化的操作。由於此步驟沒有任何安全校驗，因此可以造成反序列化執行 ...

1. 前言 最近工作上剛好碰到了這個漏洞，當時的漏洞環境是： shiro-core 1.2.4 commons-beanutils 1.9.1 最終利用ysoserial的CommonsBeanutils1命令執行。 雖然在ysoserial里 ...