01 2021 档案

Apache Dubbo Provider默认反序列漏洞复现实践(CVE-2020-1948)
摘要:这个漏洞复现的时候,自己遇到一些坑,记录一下。 测试环境 windwos 10 jdk1.8.0_121(很重要) 首先下载漏洞版本代码: https://github.com/apache/dubbo-spring-boot-project/releases/tag/2.7.6 解压后用idea打 阅读全文
posted @ 2021-01-28 12:05 妇愁者纞萌 阅读(198) 评论(0) 推荐(0) 编辑
spring boot 整合shiro 实践(顺便复现下CVE-2020-13933)
摘要:以前遇到过 apache shiro的反序列化漏洞,虽然利用poc都能执行,但是 apache shiro 到底是干嘛用的一直也没研究。今天学习下这个框架的使用,为之后渗透有apache shiro的服务做准备。 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和 阅读全文
posted @ 2021-01-25 18:02 妇愁者纞萌 阅读(455) 评论(0) 推荐(0) 编辑
fastjson1.2.22-1.2.24 反序列化命令执行实践测试
摘要:首先创建一个spring boot的项目 pom.xml因为fastjson 依赖 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.22</version> </de 阅读全文
posted @ 2021-01-19 13:37 妇愁者纞萌 阅读(390) 评论(0) 推荐(0) 编辑
Spring boot JdbcTemplate sql注入测试
摘要:1.首先创建项目 通过JdbcTemplate来访问数据库,Spring boot提供了如下的starter来支撑 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdb 阅读全文
posted @ 2021-01-19 11:37 妇愁者纞萌 阅读(1178) 评论(0) 推荐(0) 编辑
java反序列化命令执行测试实践
摘要:java的序列化和反序列化就不解释了。直接测试。 首先测试命令执行原理。 1.创建一个maven项目 2.引入有漏洞版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</a 阅读全文
posted @ 2021-01-18 16:21 妇愁者纞萌 阅读(382) 评论(0) 推荐(0) 编辑
SpringBoot 整合mybatis SQL注入漏洞实践
摘要:SpringBoot 整合mybatis 请看 https://www.cnblogs.com/fczlm/p/14272917.html 这里主要记录mybatis的sql注入漏洞的实践测试。 首先在该项目下再创建一个数据库操作接口 @Mapper public interface FindUse 阅读全文
posted @ 2021-01-13 17:49 妇愁者纞萌 阅读(832) 评论(0) 推荐(0) 编辑
SpringBoot整合mybatis入门
摘要:创建一个Spring Initializr 项目,Project SDK 1.8 Web 加入Spring Web,SQL加入MyBatis Framework pom.xml引入相关依赖: <dependency> <groupId>org.springframework.boot</groupI 阅读全文
posted @ 2021-01-13 16:45 妇愁者纞萌 阅读(95) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示