apache漏洞合集-亲测
关注
分享
扫一扫
文章平均质量分 70
CVE-2017-12635、CVE-2016-5388、Apache ActiveMQ漏洞
Bolgzhang
人生哪有多如意,事事只求办称心
展开
-
Apache Shiro <= 1.2.4反序列化漏洞攻击 CVE-2016-4437 已亲自复现
在 1.2.5 之前的 Apache Shiro 中,当未为“记住我”功能配置密钥时,远程攻击者可以通过未指定的请求参数执行任意代码或绕过预期的访问限制。Apache Shiro <= 1.2.4受害者IP:127.0.0.1攻击者IP:8.140.54.167:40201vulfocus下载链接启动vulfocus环境启动后,访问http://8.140.54.167:40201/即可看到一个登录页面,说明已成功启动。工具下载链接:使用工具输入目标对密钥进行爆破, 并检测利用链。执行系统命令w原创 2024-01-27 18:11:49 · 2508 阅读 · 0 评论 -
Apache ShenYu 网关JWT认证绕过漏洞 CVE-2021-37580
payload的意思是使用了一个JWT令牌,对其进行Base64解码可得到攻击者尝试的用户为。由于服务端在使用JWT的时候,也没有校验key,导致任意能解码的JWT,并且只要用户(userName的值)存在,都能通过校验。如果攻击成功,在响应头中返回的状态码为200,且在响应体中返回字样。原创 2023-12-21 15:25:05 · 1468 阅读 · 0 评论 -
Apache Tomcat httpoxy 安全漏洞 CVE-2016-5388 已亲自复现
攻击者构造HTTP请求的Proxy字段为True,表示启用了代理。这意味着所有的网络请求将会通过一个中间代理服务器转发,而不是直接连接到目标服务器。但是,通常情况下,仅设置"proxy: true"是不够的,还需要提供代理服务器的详细信息,如IP地址和端口号。如果攻击成功,在响应头中返回的状态码为200,且与提供代理服务器存在流量交互。然而,在响应头中返回状态码为200,且在响应体中返回的JSON对象似乎是在响应一个成功的操作请求,返回了一个包含版本、故事、步骤和规则的配置或脚本内容。原创 2023-12-20 21:44:42 · 2461 阅读 · 1 评论 -
Apache CouchDB 垂直权限绕过漏洞 CVE-2017-12635 已亲自复现
Apache CouchDB 垂直权限绕过漏洞 CVE-2017-12635 已亲自复现原创 2023-12-18 15:22:57 · 1374 阅读 · 0 评论 -
配置Apache tomcat拦截&AJP协议&CVE-2020-1938&修复
CVE-2020-19381.禁用8009端口2.禁用ajp协议\Jboss\jboss-as-distribution-6.1.0.Final\jboss-6.1.0.Final\server\default\deploy\jbossweb.sarserver.xml 注释下面 <!-- <Connector protocol="AJP/1.3" port="${...原创 2022-02-23 17:39:00 · 473 阅读 · 0 评论 -
Apache ActiveMQ漏洞利用总结
Apache ActiveMQ漏洞利用总结原创 2022-04-24 10:06:04 · 1939 阅读 · 0 评论