vulfocus
记录vulfocus靶场中漏洞的WriteUp
Gh0stX
Ethical Hacker|Cybersecurity Researcher|HackTheBox
展开
-
Log4j2远程命令执行(CVE-2021-44228)
Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。原创 2022-11-04 00:36:54 · 711 阅读 · 0 评论 -
jquery 文件上传漏洞(CVE-2018-9207)
jQuery是一个快速、简洁的JavaScript框架,是继Prototype之后又一个优秀的JavaScript代码库(框架)于2006年1月由John Resig发布。原创 2022-10-31 16:23:32 · 745 阅读 · 0 评论 -
jquery-picture-cut 任意文件上传(CVE-2018-9208)
picture cut是一个jquery插件,以非常友好和简单的方式处理图像,具有基于bootstrap或jquery ui的漂亮界面,具有ajax上传,从资源管理器拖动图像,图像裁剪等强大的功能。jQuery-Picture-Cut/src/php/upload.php 中调用…/core/PictureCut.php 处理文件上传的代码不检查文件类型并允许用户选择文件位置路径。未经身份验证的用户并将可执行的 PHP 文件上传到服务器,从而允许执行代码。原创 2022-10-31 16:19:14 · 827 阅读 · 0 评论 -
Weblogic 反序列化漏洞 (CVE-2018-2893 & CVE-2018-3245)
Weblogic 远程代码执行 (CVE-2018-2893 & CVE-2018-3245)WebLogic Server使用T3协议在WebLogic Server和客户端间传输数据和通信,由于WebLogic的T3协议和Web协议使用相同的端口,导致在默认情况下,WebLogic Server T3协议通信和Web端具有相同的访问权限。 易受攻击的WebLogic服务允许未经身份验证的攻击者通过T3网络访问及破坏Oracle WebLogic Server。此漏洞的成功攻击可能导致攻击者接管Oracl原创 2022-06-30 16:34:51 · 5001 阅读 · 1 评论