关注
分享
文章平均质量分 51
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。
_wwwyn
哈哈哈
展开
-
Tomcat任意文件写入-CVE-2017-12615
一、简述Java是当前Web开发中最流行的编程语言,而Tomcat是最流行的Java中间件服务器之一。由于Tomcat AJP协议中的缺陷,攻击者可以读取或包括Tomcat的webapp目录中的任何文件。例如,攻击者可以读取WebApp配置文件或源代码。此外,如果目标Web应用程序具有文件上传功能,则攻击者可能通过利用Ghostcat漏洞利用文件包含功能在目标主机上执行恶意代码。影响版本:7.0.0~7.0.79二、漏洞复现1.环境设定。docker-compose buildd原创 2021-03-31 14:48:53 · 241 阅读 · 0 评论 -
cve-2020-0796
一.漏洞概述1.漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。2.影响范围 适用于32位系统的Windows 10版本1903 Windows 10 1903版(用于基于x64的系统) Windows 10 1903版(用于基于ARM64的系统) Windows Server 1903版(服务器核原创 2021-03-05 15:16:19 · 215 阅读 · 0 评论 -
漏洞复现环境集锦-Vulhub
一.简介:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。二.安装Vulhub(漏洞环境的搭建,官方推荐用ubuntu)1.安装...原创 2020-04-29 16:38:40 · 630 阅读 · 0 评论 -
Struts2远程命令执行漏洞
web应用框架:是一种开发框架,用来支持动态网站、应用程序、网络服务的开发,其类型有基于请求的和基于组件的,前者代表有struts和spring MVC,后者则有JSF、Taperstry等。Struts2远程命令执行漏洞Struts是Apache基金会的一个开源项目,Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品。 目前,Struts框架广原创 2020-08-28 09:54:14 · 1047 阅读 · 0 评论 -
Drupal XSS漏洞(CVE-2019-6341)
Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。影响软件:Drupal 方式:通过文件模块或者子系统上传恶意文件触发XSS漏洞 参考链接:Drupal 1-click to RCE 分析 效果:JS代码执行(Cookies 资料窃取、会话劫持、钓鱼欺骗、网页挂马等)漏洞复现1.使用vulhub环境,进入目录,启动环境service docker startcd /vulhub/dru原创 2020-09-10 10:07:31 · 604 阅读 · 2 评论 -
Weblogic 任意文件上传漏洞(CVE-2018-2894)
Weblogic 任意文件上传漏洞(CVE-2018-2894)Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在“生产模式”下默认不开启,所以该漏洞有一定限制。利用该漏洞,可以上传任意jsp文件,进而获取服务器权限。一、漏洞环境运行service docker startcd /vulhub/weblogic/CVE-2018-2894docker-compose up原创 2020-08-26 15:34:20 · 220 阅读 · 0 评论