摘要:
原文地址:https://bbs.ichunqiu.com/thread-23115-1-1.html 本来今晚在准备复现最近的CVE-2017-11882,由于本人是小白一枚,不知道这么添加msf的exp,一番搜索之后在I春秋看到大神的文章,觉得有用就尝试着试了一下,因此写这篇文,即为记录也为总结 阅读全文
摘要:
一、漏洞描述 Struts2 的REST插件,如果带有XStream组件,那么在进行反序列化XML请求时,存在未对数据内容进行有效验证的安全隐患,可能发生远程命令执行。 二、受影响版本 Struts2.5 – Struts2.5.12版本 Struts2.3.33版本 三、漏洞POC 四、漏洞复现 阅读全文
摘要:
测试环境: Windows Server 2003 + phpstudy 首先在win2003里运行phpstudy,这里注意需要选择应用系统服务模式,应用之后重启phpstudy。 打开系统服务(开始>>管理工具>>服务),出现Apache2a这个服务就成功了。 然后打开我们上传的PHP大马进行测 阅读全文
摘要:
PHP伪协议 PHP伪协议事实上是其支持的协议与封装协议,支持的种类有以下12种。 把握大局 件可以知道程序的架构,运行流程、包含的哪些配置文件,包含了哪些过滤文件以及包含哪些安全过滤文件,了解程序的业务逻辑。 审计方法 大多数漏洞的产生是因为函数的使用不当导致的。使用软件查找匹配一些高危漏洞、关键 阅读全文