登录

CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告

CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告
一. 漏洞概述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP……继续阅读 »

0x0 4周前 (09-21) 223浏览 0评论 5个赞

S2-045(poc)(exploit),CVE-2017-5638(poc)(exploit) Apache Struts2 曝任意代码执行漏洞

S2-045(poc)(exploit),CVE-2017-5638(poc)(exploit) Apache Struts2 曝任意代码执行漏洞
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。 CVE-2017-5638 Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。 实际上在default.properties文件……继续阅读 »

0x0 8个月前 (03-07) 1080浏览 5评论 9个赞

burpsuite_pro_v1.7.11.zip burp最新版泄露下载

burpsuite_pro_v1.7.11.zip burp最新版泄露下载
最新版的burp1.7.11泄露了,博主几天前拿到,一直没时间更新,今天更新一下。 BurpSuite是一款信息安全从业人员必备的 集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HT……继续阅读 »

0x0 11个月前 (12-08) 460浏览 0评论 2个赞

HttpDdos V3.0,高度自定义Attack 网站ddos cc攻击工具

HttpDdos V3.0,高度自定义Attack 网站ddos cc攻击工具
本次更新支持POST参数设置随机值,举个最简单的例子,利用该工具设置好目标网站注册POST参数之后,通过[随机数字]设置变量。可以实现不停的CC攻击网站注册系统,短时间内对数据库进行大量读写操作并产生大量垃圾用户塞满数据库。 中小型网站可秒死。 具体更多功能各位可以自行开发 该工具则是在本人多年的应用层攻击处理经验上总结出的工具。headers参数全部可以……继续阅读 »

0x0 11个月前 (12-02) 461浏览 0评论 6个赞

Abusing & Hijacking Registry to Bypass UAC

Abusing & Hijacking Registry to Bypass UAC
这个是原文。 “Fileless” UAC Bypass Using eventvwr.exe and Registry Hijacking 之前看雪出文章的时候,我就去分析了。 可是因为能力问题,问题并没有搞清楚。 刚才去GITHUB找了段代码,确实是可以成功绕过的。 只是增加了一个注册表的值,然后调用了某个程序,而这个程……继续阅读 »

0x0 1年前 (2016-10-12) 436浏览 0评论 5个赞