前言 Xstream是一個基於java語言的xml操作類庫，同時也是Java對象和XML相互轉換的工具，提供了所有的基礎類型、數組、集合等類型直接轉換的支持。因此XML常用於數據交換、對象序列化。本文將從Xstream的環境搭建到CVE-2020-26217遠程代碼執行漏洞的復現分析做一個記錄 ...

寫在前面 影響范圍為XStream < 1.4.14,小版本也需要加黑名單，但是復現過程中只有所有常規版本和下圖紅標小版本復現成功： 另外還需要XPP3、xmlpull這兩個jar包，JDK9無法觸發成功。 復現過程中發現1.4.10及以上版本通過在使用fromXML方法前開啟默認安全 ...

​ CVE-2021-2109 Weblogic遠程代碼執行 ​ 一、漏洞簡介 Oracle官方發布了漏洞補丁，修了包括 CVE-2021-2109 Weblogic Server遠程代碼執行漏洞在內的多個高危嚴重漏洞。CVE-2021-2109 中，攻擊者可構造惡意請求，造成JNDI注入 ...

可能是沒搞明白這個漏洞的原理吧，在復現過程中，不知道poc.html文件放在哪里，也很疑惑兩個虛擬機沒有進行交互，kali怎么能監聽到信息，我傻了，真傻。。。。 理清楚了 在攻擊機里搭建web服務 ...

僅供本地代碼學習，用於非法目的與本人無關 核心POC 原理參考 ...

0x00 漏洞簡介 Google Chrome瀏覽器是一款由Google公司開發的網頁瀏覽器，該瀏覽器基於其他開源軟件撰寫，包括WebKit，目標是提升穩定性、速度和安全性，並創造出簡單且有效率的使用者界面。 通過CVE-2021-21220漏洞，受害者通過未開沙箱機制的Chrome瀏覽器打開 ...

漏洞描述 F5 BIG-IP 是美國 F5 公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平台。CVE-2021-22986 BIG-IP/BIG-IQ iControl REST 未授權遠程代碼執行漏洞 中，未經身份驗證的攻擊者可通過iControl REST接口 ...

一、漏洞背景 　　vSphere 是 VMware 推出的虛擬化平台套件，包含 ESXi、vCenter Server 等一系列的軟件。其中 vCenter Server 為 ESXi 的控制中心， ...