03 2022 档案

zrlog2.1.0文件写入漏洞
摘要:影响版本: zrlog2.1.0 复现环境: apache-tomcat-7.0.86 jdk1.8 mysql Ver 8.0.28-0ubuntu0.20.04.3 for Linux on x86_64 ((Ubuntu)) 复现过程: 1.环境安装: https://blog.zrlog.c 阅读全文
posted @ 2022-03-15 01:41 coolcoolha 阅读(195) 评论(0) 推荐(0) 编辑
cve-2020-1938/cve-2020-10487
摘要:tomcat Ajp漏洞复现(cve-2020-1938/cve-2020-10487) 受影响版本 Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.31 不受影响版本 阅读全文
posted @ 2022-03-14 01:21 coolcoolha 阅读(307) 评论(0) 推荐(0) 编辑
cve-2014-4210
摘要:Weblogic SSRF漏洞 影响版本: weblogic 10.0.2 – 10.3.6 使用环境:vulhub/weblogic:10.3.6.0-2017 复现过程: 1.启动环境 docker-compose up -d 2.访问weblogic服务地址 http://*.*.*.*:70 阅读全文
posted @ 2022-03-11 11:36 coolcoolha 阅读(268) 评论(0) 推荐(0) 编辑
序列化和反序列化
摘要:序列化和反序列化 序列化和反序列化的概念 把对象转换为字节序列的过程称为对象的序列化。 把字节序列恢复为对象的过程称为对象的反序列化。 对象的序列化主要有两种用途: 1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2) 在网络上传送对象的字节序列。 在很多应用中,需要对某些对象进行 阅读全文
posted @ 2022-03-07 02:39 coolcoolha 阅读(69) 评论(0) 推荐(0) 编辑
RMI拓展
摘要:版本要求: 从JDK8u21、7u13、6u141开始,JDK为RMI注册表和RMI分布式垃圾收集器内置了过滤器,只允许特定的类进行反序列化。Registry无法成功攻击RMI。 漏洞复现过程: 1.启动RMI注册机制 java -cp ysoserial.jar ysoserial.exploit 阅读全文
posted @ 2022-03-07 02:19 coolcoolha 阅读(28) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示