12 2017 档案

【复现】Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)
摘要:影响范围: Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.1.3.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 实验用的是12.1.3.0.0版本的weblogic 安装weblogi 阅读全文
posted @ 2017-12-26 15:17 Carrypan 阅读(1679) 评论(0) 推荐(0)
【总结】Metasploit自动攻击模块
摘要:环境:kali-linux-2017.3-vm-amd64 一、安装postgresql数据库 apt-get install postgresql apt-get install rubygems libpq-dev apt-get install libreadline-dev apt-get 阅读全文
posted @ 2017-12-22 10:58 Carrypan 阅读(4718) 评论(0) 推荐(0)
【实战】SSL和TLS漏洞验证
摘要:工具下载:git clone https://github.com/drwetter/testssl.sh.git 实验环境:192.168.1.22(bee-box v1.6) 192.168.1.20(kali-linux-2017.3) 一、SWEET32(CVE-2016-2183) 使用3 阅读全文
posted @ 2017-12-19 09:30 Carrypan 阅读(4598) 评论(2) 推荐(0)
【研究】Struts2-052漏洞
摘要:漏洞描述: CVE-2017-9805 2017年9月5日,Apache Struts官方发布最新的安全公告称,Apache Struts 2.5.x的REST插件存在远程代码执行高危漏洞,漏洞编号为CVE-2017-9805(S2-052),受影响的版本为Struts 2.5 - Struts 2 阅读全文
posted @ 2017-12-04 16:21 Carrypan 阅读(1140) 评论(0) 推荐(0)
【研究】Struts2-048漏洞
摘要:1.1 漏洞背景 2017年7月7日,Apache Struts发布最新的安全公告,Apache Struts2-strus1-plugin插件存在远程代码执行的高危漏洞,漏洞编号为CVE-2017-9791(S2-048),主要受影响的Struts版本为:2.3.x。 攻击者可以构造恶意的字段值( 阅读全文
posted @ 2017-12-04 16:19 Carrypan 阅读(435) 评论(0) 推荐(0)
【研究】XML外部实体注入(XXE)
摘要:在正式发布的2017 OWAST Top10榜单中,出现了三种新威胁: A4:XML外部实体注入漏洞(XXE) A8:不安全的反序列化漏洞 A10:不足的记录和监控漏洞 验证XXE: 构造请求 <?xml version="1.0" encoding="ytf-8"?> <!DOCTYPE Anyt 阅读全文
posted @ 2017-12-02 09:52 Carrypan 阅读(729) 评论(0) 推荐(0)
【研究】CVE-2017-11882-Office远程代码执行漏洞复现
摘要:实验环境:win10+kali 工具:koadic,Command43b_CVE-2017-11882.py KALI: root@kali:/opt/koadic-master# ./koadic (koadic: stager/js/mshta)# set lhost 10.73.28.148 阅读全文
posted @ 2017-12-01 19:51 Carrypan 阅读(543) 评论(0) 推荐(0)