- 博客(2)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 菜鸡一枚(勿喷)复现Fastjson「=1.2.47反序列化漏洞
0x00 前言fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。对版本小于1.2.48的版本通杀,autoType为关闭状态也可使用。 loadClass中默认cache设置为true,利用分为2步执行,首先使用java.lang.Class把获取到的类缓存到mapping中,然后直接从缓存中获取到了com.sun.rowset.JdbcRowSetImpl
2020-07-09 17:48:11
644
1
原创 金山终端安全系统任意文件上传漏洞附poc(新鲜趁热)
金山终端安全系统任意文件上传漏洞附poc(新鲜趁热)来,直接上手,引擎走一波fofa网址:fofa.sofofa搜索:title=“金山终端安全”存在漏洞,上传成功shell地址,url/Uploaddir/上传文件名称:poc:import requestsheaders = {"Content-Type":"multipart/form-data;boundary=----WebKitFormBoundaryhQcaKJIKAnejKGru"}payload = '''--
2021-04-10 09:22:05
2430
ShiroExploit.V2.3.zip
窗口化shiro漏洞一键检测利用工具ShiroExploit,支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持简单回显。
2020-07-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人