12 2023 档案

摘要:Apache ActiveMQ Jolokia后台远程代码执行漏洞(CVE-2022-41678) Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,他支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ在5 阅读全文
posted @ 2023-12-18 16:07 kalixcn 阅读(559) 评论(0) 推荐(0) 编辑
摘要:Aapche Dubbo Java反序列化漏洞(CVE-2019-17564) 漏洞描述 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。Dubbo可以使用不同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springfram 阅读全文
posted @ 2023-12-13 17:24 kalixcn 阅读(89) 评论(0) 推荐(0) 编辑
摘要:JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504) Red Hat JBoss Application Server是一款JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation 阅读全文
posted @ 2023-12-06 14:31 kalixcn 阅读(341) 评论(0) 推荐(0) 编辑
摘要:JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149) 该漏洞为Java反序列化错误类型,存在于Jboss的HttpInvOKER隔离器中,该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。 漏洞复现 该漏洞出现在/invoker/read 阅读全文
posted @ 2023-12-06 14:05 kalixcn 阅读(293) 评论(0) 推荐(0) 编辑
摘要:ActiveMQ 反序列化漏洞(CVE-2015-5254) 漏洞原理 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的信息中间件,他支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ 5.13.0之前5.x版本中存 阅读全文
posted @ 2023-12-01 17:25 kalixcn 阅读(83) 评论(0) 推荐(0) 编辑
摘要:Tomcat PUT方法任意写文件漏洞(CVE-2017-12615) 环境搭建 cd /vulhub/tomcat/CVE-2017-12615/ docker-compose up -d 访问http://10.10.10.10:8080/ 漏洞原理 漏洞本质Tomcat配置了可写(readon 阅读全文
posted @ 2023-12-01 14:29 kalixcn 阅读(23) 评论(0) 推荐(0) 编辑
摘要:Weblogic 常规渗透测试环境 本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。 weblogic版本:10.3.6(11g) Java版本:1.6 启动本环境: cd weblogic/wea 阅读全文
posted @ 2023-12-01 13:52 kalixcn 阅读(87) 评论(0) 推荐(0) 编辑