- 博客(2)
- 收藏
- 关注
原创 ActiveMQ 反序列化漏洞(CVE-2015-5254)
Q指定队列消息名,-I选择要装载的JMS客户端,这里是ActiveMQ,-s是选择ysoserial payload,-Y指定具体的命令(可替换为反弹shell命令),-Yp指定payload类型,其后分别是ActiveMQ所在机器的ip及工作端口。构造可执行命令的java序列化对象(ysoserial集合了各种java反序列化payload,而jmet集成了ysoserial) ysoserial是一款java反序列化利用工具。发送和接收是异步的(发送者和接收者的生命周期没有必然关系)。
2023-08-30 15:30:33 154 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人