- 博客(70)
- 收藏
- 关注
原创 一个用于翻译 CSV 文件的 Python 脚本,适用于将英文内容批量翻译成中文(或其他语言),并解决文件编码导致的中文乱码和无法翻译的问题。
一个用于翻译 CSV 文件的 Python 脚本,适用于将英文内容批量翻译成中文(或其他语言),并解决文件编码导致的中文乱码和无法翻译的问题。
2024-09-15 03:13:49 1041 2
原创 面具安装LSP模块时提示 Unzip error错误的解决办法
面具(Magisk Delta)安装LSP模块时提示 Unzip error错误的解决办法
2024-03-10 17:41:39 4304
原创 solr 远程命令执行漏洞复现 (CVE-2019-17558)
Apache Velocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。Velocity是Apache基金会旗下的一个开源软件项目,旨在确保Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。攻击者可借助自定义的Velocity模板功能,利用Velocity-SSTI漏洞在Solr系统上执行任意代码。
2024-01-12 12:07:24 705
原创 Centos7云服务器上安装cobalt_strike_4.7。附cobalt_strike_4.7安装包
Centos7云服务器上安装cobalt_strike_4.7。附cobalt_strike_4.7安装包
2023-12-11 22:30:10 1212 1
原创 cobalt_strike_4.7启动报错.teamserver: 行 6: .TeamServerImage: 权限不够(解决方法)
cobalt_strike_4.7启动报错.teamserver: 行 6: .TeamServerImage: 权限不够(解决方法)
2023-12-11 20:30:41 3222 2
原创 编写Yaml文件当Poc,利用Nuclei扫描器去扫描漏洞
编写Yaml文件当Poc,利用Nuclei扫描器去扫描漏洞。使用工具一键生成Yaml文件
2023-12-09 18:13:43 2498
原创 Spring boot命令执行 (CVE-2022-22947)漏洞复现和相关利用工具
Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。
2023-11-29 19:29:31 845
原创 Spring Framework远程代码执行漏洞 CVE-2022-22965 漏洞复现
Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,并JDK 9.0及以上版本会受到影响。
2023-11-29 17:25:46 215
原创 Spring Cloud Function Spel表达式注入 CVE-2022-22963 漏洞复现
Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的“spring.cloud.function.routing-expression”参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,未经授权的远程攻击者可利用该漏洞执行任意代码。
2023-11-29 16:46:09 200
原创 struts2 代码执行 (CVE-2020-17530)
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。 在特定的环境下,远程攻击者通过构造 恶意的OGNL表达式 ,可造成 任意代码执行
2023-11-29 16:08:59 150
原创 ringboot-cve_2021_21234:latestSpring Boot 目录遍历 (CVE-2021-21234)漏洞复现
Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。 spring-boot-actuator-logview 在一个库中添加了一个简单的日志文件查看器作为 spring boot 执行器端点。它是 maven 包“eu.h
2023-11-29 11:46:31 425
原创 jekins CVE-2018-1000861 漏洞复现
描述: Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交付工具链中几乎所有的工具。 Jenkins 是常见的CI/CD服务器, 最常见的就是爆破弱口令然后使用groovy执行命令
2023-11-28 20:37:20 677
原创 jenkins 代码执行 (CVE-2017-1000353)漏洞复现
**描述: **Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交付工具链中几乎所有的工具。 Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限
2023-11-28 20:11:06 375 1
原创 CVE-2017-12615 文件上传
当存在漏洞的Tomcat运行在Windows/Linux主机上, 且启用了HTTP PUT请求方法( 例如, 将readonly初始化参数由默认值设置为false) , 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的webshell文件,JSP文件中的恶意代码将能被服务器执行, 导致服务器上的数据泄露或获取服务器权限主要影响版本是:Apache Tomcat 7.0.0 - 7.0.79 8.X的有些版本也许也存在
2023-11-26 18:57:53 92
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人