Fastjson漏洞学习(1)
漏洞复现今天去绿盟那边面试,问了个关于fastjson的问题。没怎么回答上来,主要是都没怎么在实战中用到,不是很熟悉这个。问:Fastjson在遇到不出外网的情况下,如何利用。复现环境Vulhub的docker环境Fastjson1.2.24如何判断使用了Fastjson报错回显一般我是传递一个不完
漏洞复现今天去绿盟那边面试,问了个关于fastjson的问题。没怎么回答上来,主要是都没怎么在实战中用到,不是很熟悉这个。问:Fastjson在遇到不出外网的情况下,如何利用。复现环境Vulhub的docker环境Fastjson1.2.24如何判断使用了Fastjson报错回显一般我是传递一个不完
Homebrew国内镜像源腾讯云的速度比较快替换brew.git:gitremoteset-urloriginhttps://mirrors.cloud.tencent.com/homebrew/brew.git替换homebrew-core.git:gitremoteset-urloriginht
这一年里你参加了7场攻防演练,平均每场演练拿到了一万分,其中九千分都是靠shack2超级弱口令扫描爆破打下来的,你热衷于使用goby和shack2超级弱口令爆破,常常戏称自己是内网渗透大牛。喜欢和朋友讨论今年攻防演练又靠shiro,fastjson,weblogic混过了一年。你热爱学习,每天都会打
本文由简悦SimpRead转码,原文地址xiashang.xyz在红蓝对抗中,远程命令执行类漏洞往往是攻击方在正面路径中突破边界非常青睐的。常见的可以执行远程命令的漏洞的有各种JAVA反序列化漏洞、远程代码执行漏洞、远程命令执行漏洞(原生)、表达式执行漏洞、SQL注入漏洞等。远程命令执行类漏洞从漏洞
CVE-2020-14645主要最近在研究weblogic的内存马,在github上面搜到https://github.com/feihong-cs/JNDIExploit这个项目里面有一段内存马代码,想套用到14882那个漏洞上面,但是发现cmdshell可以,冰蝎的马好像有些问题。既然他是JND
终于弄会了~我一个JAVA小白,代码只能理解,但是不会写!全靠copy。感谢宽字节potats0老哥!和奇安信Cheery老哥~放图:只实现了普通的一句话马,冰蝎马和蚁剑马还没弄好(蚁剑马有点小问题)遇到的问题:1.代码导出成Jar包:IDEA————>File————>ProjectS