- 博客(2)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 菜鸡一枚(勿喷)复现Fastjson「=1.2.47反序列化漏洞
0x00 前言 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。对版本小于1.2.48的版本通杀,autoType为关闭状态也可使用。 loadClass中默认cache设置为true,利用分为2步执行,首先使用java.lang.Class把获取到的类缓存到mapping中,然后直接从缓存中获取到了com.sun.rowset.JdbcRowSetImpl
2020-07-09 17:48:11
674
1
原创 金山终端安全系统任意文件上传漏洞附poc(新鲜趁热)
金山终端安全系统任意文件上传漏洞附poc(新鲜趁热) 来,直接上手,引擎走一波 fofa网址:fofa.so fofa搜索:title=“金山终端安全” 存在漏洞,上传成功 shell地址,url/Uploaddir/上传文件名称: poc: import requests headers = { "Content-Type":"multipart/form-data;boundary=----WebKitFormBoundaryhQcaKJIKAnejKGru" } payload = '''--
2021-04-10 09:22:05
2591
ShiroExploit.V2.3.zip
窗口化shiro漏洞一键检测利用工具ShiroExploit,支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持简单回显。
2020-07-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人