登录
exploit-poc

CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告

CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告
一. 漏洞概述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP……继续阅读 »

0x0 2个月前 (09-21) 317浏览 0评论 5个赞

exploit-poc

S2-045(poc)(exploit),CVE-2017-5638(poc)(exploit) Apache Struts2 曝任意代码执行漏洞

S2-045(poc)(exploit),CVE-2017-5638(poc)(exploit) Apache Struts2 曝任意代码执行漏洞
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。 CVE-2017-5638 Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。 实际上在default.properties文件……继续阅读 »

0x0 9个月前 (03-07) 1174浏览 5评论 9个赞

个人笔录

文章用于测试最新的wp漏洞:WordPress最近曝出内容注入漏洞,影响到REST API

文章用于测试最新的wp漏洞:WordPress最近曝出内容注入漏洞,影响到REST API
这几天太忙了! 是这一个月! 前几天看到wp出了新漏洞 可以修改指定文章内容,然后没用其他卵危害。 于是专门没用升级到最新版,留下这个4.7.1版本来测试下漏洞是否存在。 WordPress最近曝出内容注入漏洞,影响到REST API——来自Sucuri的安全研究人员最先发现该漏洞。未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容……继续阅读 »

0x0 9个月前 (02-08) 397浏览 2评论 5个赞

php/asp/jsp/html

密码保护:根据百度地图API写了个查询IP高精度详细地址的PHP单页+python版

密码保护:根据百度地图API写了个查询IP高精度详细地址的PHP单页+python版
下面好几个朋友问,百度哪来的高精度IP,还有说抓现成库的。 问题是现成的库是不准确的,不更新的,而PPPOE拨号的IP是一个地区随机分配用的。 而这个API的可以做到精度几十米甚至十几米。 以下原理纯属意淫,各位看看就散了吧。 原理是这样的,打个比方: 苦逼的我,手机上安装了百度地图APP,我跑到帝都天安门连了一下那里的WIFI。 这个时候我的手机上传到……继续阅读 »

0x0 12个月前 (12-08) 600浏览 0评论 5个赞

奇淫巧技

利用redis写webshell

利用redis写webshell
redis和mongodb我之所见 最近自己在做一些个人的小创作、小项目,其中用到了mongodb和redis,最初可能对这二者没有深入的认识。 都是所谓的“非关系型数据库”,有什么区别么? 实际上,在我看来,redis的角色更接近于memcache,而mongodb是一个真正的数据库。 redis是一个key-value型数据库,信息以键对应值的关系存储在……继续阅读 »

0x0 12个月前 (12-08) 568浏览 0评论 3个赞