![](https://img-blog.csdnimg.cn/20200412211306222.jpg?x-oss-process=image/resize,m_fixed,h_224,w_224)
#+ 远程命令执行与反序列化漏洞
远程命令执行与反序列化
温柔小薛
车联网安全
展开
-
远程命令执行与反序列化——Weblogic中间件反序列化漏洞及相关
Weblogic中间件反序列化漏洞及相关常见漏洞有那些:弱口令、Java 反序列化漏洞操作(CVE-2018-2628)、任意文件上传漏洞操作(CVE-2018-2894)、XMLDecoder 反序列化漏洞操作(CVE-2017-10271)、SSRF漏洞(需要安装Weblogic时选择UDDI组件)、反序列化漏洞(CVE-2019-2725参考https://www.0dayhack...原创 2020-04-13 23:23:25 · 795 阅读 · 0 评论 -
远程命令执行与反序列化之——jboss中间件反序列化漏洞获取Webshell还原
jboss中间件反序列化漏洞获取Webshell还原理论 可以在谷歌浏览器的wappalyzer插件中查看jboss相关信息 历史漏洞参考;https://www.seebug.org/appdir/JBosshttps://www.jianshu.com/p/e34062e0a6f1默认后台地址:http://localhost:8080/jmx-console (前面讲过可以在这里...原创 2020-04-13 23:19:56 · 628 阅读 · 0 评论 -
远程命令执行与反序列化之——Struts框架全系列命令执行漏洞还原
Struts框架全系列命令执行漏洞还原(端口默认8080)历史漏洞:https://www.seebug.org/search/?keywords=struts2s2早期综合利用工具(10-17年高危漏洞)K8 struts2 EXP填写目标,可以执行命令,文件上传(小马),连接小马出现.action或者.do都可能是使用structs2框架s2-045漏洞还原(K8就可以)h...原创 2020-04-13 23:16:19 · 511 阅读 · 0 评论 -
远程命令执行与反序列化之——反序列化原理介绍与漏洞产生原因分析
反序列化原理介绍与漏洞产生原因分析什么是反序列化就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有...原创 2020-04-12 21:48:58 · 673 阅读 · 0 评论 -
远程命令执行与反序列化之——远程命令执行漏洞与远程代码执行简介
远程命令执行漏洞简介远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接...原创 2020-04-12 21:39:25 · 744 阅读 · 0 评论