Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)

最新推荐文章于 2022-08-26 10:48:58 发布
VIP文章 最新推荐文章于 2022-08-26 10:48:58 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: CVE-2018-1297 文章标签: CVE-2018-1297
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandao_ahfengren/article/details/106817470
版权

简介

Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件。其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令。

环境搭建

cd /vulhub/jmeter/CVE-2018-1297

docker-compose up -d

cat docker-compose.yml

可以看到开启的是1099端口

环境启动后,将启动一个RMI服务并监听1099端口。

下载ysoserial,git

git clone https://github.com/fro

最低0.47元/天 解锁文章
锋刃科技
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Vulnhub复现漏洞 - Jmeter RMI 反序列化命令执行漏洞CVE-2018-1297
JiangBuLiu的博客
07-11 2364
Jmeter RMI 反序列化命令执行漏洞CVE-2018-1297)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现利用ysoserial检查结果 Vulnhub官方复现教程 https://vulhub.org/#/environments/jmeter/CVE-2018-1297/ 漏洞原理 Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编...
CVE-2018-7600 Drupal漏洞原理的简单分析与复现
锋刃科技的博客
11-12 8328
0x00组件背景 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。 0x01漏洞位置 这里有个call_user_func_array call_user_func_array函数是调用第一个参数的函数 传入的参数数第二个参数数...
rmi远程反序列化rce漏洞_[原创]CVE-2018-1297jmeter_RMI漏洞复现
weixin_31423955的博客
12-23 414
jmeter_RMI_CVE-2018-1297复现5ecurity团队(5ecurity.cn)成员 zzw([email protected])原创发布
GIT-SHELL 沙盒绕过(CVE-2017-8386)
黑白的博客
12-23 1001
声明 好好学习,天天向上 漏洞描述 GIT-SHELL 沙盒绕过(CVE-2017-8386)导致任意文件读取、可能的任意命令执行漏洞。 影响范围 复现过程 使用vulhub /app/vulhub-master/git/CVE-2017-8386 使用docker启动 docker-compose build docker-compose up -d 先准备好id_rsa,这是ssh的私钥,作者已经帮我们准备好了,就在docker-compose文件一起的文件夹内,拷贝到kali中,执行下述命令 ch
Apache JMeter rmi 反序列化 cve-2018-1297
whatday的专栏
08-07 454
漏洞描述 Severity: Important Vendor: The Apache Software Foundation Versions Affected: JMeter 2.X, 3.X Description [0]: When using Distributed Test only (RMI based), jmeter uses an unsecured RMI connection. This could allow an attacker to get Access to JM
jmeter-plugins-cmn-jmeter-0.6.jar
08-20
Apache jmeter jmeter-plugins-cmn-jmeter-0.6.jar 下载
Apache JMeter (apache-jmeter-5.5.zip)
06-24
Apache JMeter (apache-jmeter-5.5.zip)可用于测试静态和动态资源、Web 动态应用程序的性能。 它可用于模拟服务器、服务器组、网络或对象上的重负载,以测试其强度或分析不同负载类型下的整体性能。 Apache JMeter...
Apache JMeter (apache-jmeter-5.5.tgz)
06-24
Apache JMeter (apache-jmeter-5.5.tgz)可用于测试静态和动态资源、Web 动态应用程序的性能。 它可用于模拟服务器、服务器组、网络或对象上的重负载,以测试其强度或分析不同负载类型下的整体性能。 Apache JMeter...
JMeter基础之--元件的作用域与执行顺序
02-25
前面有介绍过jmeter的元件类别,对于新手来说,jmeter的元件是还是不少的,如果我们按照每一个元件的每一个参数的含义去学习,无疑会降低学习性能测试的热情,就算我们熟悉了所有元件以及元件上的参数了,我们也不...
最新版ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
07-23
github已经不怎么好下载的,作者已经把文件上传到其他的平台,刚刚使用的时候遇到了一点问题,要将原文件名改正确了之后才能用。
漏洞分析】Exim缓冲区溢出漏洞(CVE-2018-6789)
zzkk_的博客
03-13 931
Linux的邮件传输代理Exim被曝出存在一个漏洞CVE-2018-6789)。该漏洞源于base64解码函数中的一个缓冲区溢出问题。常规下base64编码的字符串的长度为4的倍数,但是有可能在传输或者恶意构造的情况下导致长度不为4的倍数,致使长度计算错误原文链接:【漏洞分析】Exim缓冲区溢出漏洞(CVE-2018-6789)...
利用Vulnhub复现漏洞 - Jenkins远程命令执行漏洞CVE-2018-1000861)
JiangBuLiu的博客
07-11 4423
Jenkins远程命令执行漏洞CVE-2018-1000861)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现POC检验 Vulnhub官方复现教程 https://vulhub.org/#/environments/jenkins/CVE-2018-1000861/ 漏洞原理 Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这...
CVE-2018-12613 --- 本地文件包含造成远程代码执行漏洞复现
wkend的博客
12-26 3209
0x01 了解本地文件包含 LFI(本地文件包含),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。 0x02 了解远程代码执行 RCE(远程代码执行),远程...
CVE-2018-0751
如鹿渴慕泉水的专栏
01-12 1366
using NtApiDotNet; using SandboxAnalysisUtils; using System; using System.Reflection; using System.Windows.Forms; namespace PoC { static class Program { static NtToken GetProcessToken
Jmeter RMI 反序列化命令执行漏洞
m0_63241485的博客
08-26 754
ysoserial是一款在Github开源的知名java 反序列化利用工具,里面集合了各种java反序列化payload;由于其中部分payload使用到的低版本JDK中的类,所以建议使用低版本JDK .
jmeter命令执行命令
最新发布
07-28
要在命令行中执行JMeter测试计划,你可以使用以下命令: ``` jmeter -n -t \[测试计划文件路径\] -l \[结果文件路径\] ``` 其中,`-n`表示以非GUI模式运行JMeter,`-t`后面跟着测试计划文件的路径,`-l`后面跟着...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值