RCE
文章平均质量分 77
0ak1ey
宁静才致远,浮躁干不了大事。
展开
-
log4j漏洞原理分析&复现&检测&复盘
log4j漏洞原理分析&复现&检测&复盘原创 2022-08-22 22:25:20 · 2969 阅读 · 0 评论 -
S2-045 远程代码执行漏洞(CVE-2017-5638)
S2-045 远程代码执行漏洞(CVE-2017-5638) struts2是基于MVC设计模式的Java Web框架技术之一,struts2框架按照MVC的设计思想把Java Web应用程序分为控制层,包括核心控制器FilterDispatcher和业务控制器Action,模型层,包括业务逻辑组件和数据库访问组件,视图层,包括HTML、JSP、struts2标签等。The Jakarta Multipart parser in Apache Struts 2 2.3.x before原创 2021-03-28 10:09:27 · 956 阅读 · 0 评论 -
【DVWA】Command Injection
【DVWA】Command InjectionCommand Injection即命令注入,应用程序有时调用一些执行系统命令的函数,如在PHP中,使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令注入漏洞。一、low级别1、漏洞测试如图所示,ipconfig执行成功,当然在Linux下也可以通过cat查看一些敏感文件,原创 2021-03-04 14:38:46 · 867 阅读 · 1 评论 -
pikachu之RCE
pikachu之RCE一、神魔是RCE?RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。1、远程系统命令执行出现原因:因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如常见的路由器、防火墙、入侵检测等设备的web管理界面上,一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。而如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“原创 2021-02-12 17:50:34 · 997 阅读 · 2 评论