- 博客(7)
- 收藏
- 关注
RSS订阅原创 Tomcat后台getshell
Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。通过弱口令登录后台,部署war包geshell
2022-07-01 10:12:30
911
原创 Log4j2远程命令执行(CVE-2021-44228)
Log4j2远程命令执行(CVE-2021-44228) 前言一、vulfocus靶场二、复现步骤1.靶场如下2.点击抓包前言Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。一、vulfocus靶场http://vulfocus.io.
2022-01-25 10:40:07
1247
原创 mongo-express 代码执行 (cve-2019-10758)
文章目录前言一、复现过程总结前言 名称: mongo-express 代码执行 (cve-2019-10758)描述: mongo-express是一款mongodb的第三方Web界面,使用node和express开发。如果攻击者可以成功登录,或者目标服务器没有修改默认的账号密码(admin:pass),则可以执行任意node.js代码。 提示:以下是本篇文章正文内容,下面案例可供参考一、复现过程1.老样子,fofa靶场http://vulfocus.fofa.so信息提示如下2.页面.
2021-12-30 01:26:55
1363
1
原创 vulfocus.fofa靶场Log4j2远程命令执行2
vulfocus.fofa靶场Log4j2远程命令执行2前言一、靶场复现总结前言 名称: ghcr.io/christophetd/log4shell-vulnerable-app:latest描述: log4j2 漏洞的请求头的触发点环境,请求头 X-Api-Version字段 一、靶场复现工具:JNDIExploit-1.3-SNAPSHOT.jar1.打开靶场http://vulfocus.fofa.so2.使用vps启动工具 java -jar JNDIExploit-1.3.
2021-12-29 18:06:07
5208
1
原创 vulfocus-fofa靶场 Log4j2远程命令执行
Log4j2远程命令执行前言一、Apache Log4j2是什么?二、复现步骤1.工具2.复现过程前言一、Apache Log4j2是什么?Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。二、复现步骤1.工具工具:JNDI-Inje
2021-12-29 16:39:12
4444
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人