摘要: 谈一谈2017年计划: 1.完成壁咚项目2.写一个自己的扫描器3.完善web安全手册。4.搞一个大漏洞或CVE的漏洞 完成进度:1.壁咚这个项目,当初发誓要用java来写完,其实最开始就已经写完了,前台一套后台一套,可以当时分层写的不是特别好,又重构了,一直搁浅了。2.写一个自己的扫描器,写过扫描器阅读全文
posted @ 2017-12-29 16:16 sevck 阅读(166) 评论(3) 编辑
摘要: 简介: Apache Geronimo 是 Apache 软件基金会的开放源码J2EE服务器,它集成了众多先进技术和设计理念。 这些技术和理念大多源自独立的项目,配置和部署模型也各不相同。 Geronimo能将这些项目和方法的配置及部署完全整合到一个统一、易用的模型中。 漏洞: 这个Geronimo阅读全文
posted @ 2017-12-29 12:35 sevck 阅读(36) 评论(0) 编辑
摘要: libstdc++.so.6遇到的问题: 1.提示version `GLIBCXX_3.4.14' not found 查看库: 网上找了下载,到/usr/lib64/ 提示: 原因:下载的ELF为32位的,下载64位即可。可耻的是国内的下载竟然要币子。免费提供: 包含32/64(Centos): 阅读全文
posted @ 2017-12-29 11:29 sevck 阅读(10) 评论(0) 编辑
摘要: 功能: 命令行启动jar包,用户自定义启动RMI端口 如果已经绑定端口: 工具下载: http://scan.javasec.cn/java/rmi.jar PS:工具只是开启RMI端口,不一定存在反序列化漏洞。阅读全文
posted @ 2017-12-28 18:09 sevck 阅读(39) 评论(0) 编辑
摘要: 说点修复建议: 个人建议直接更新最新版吧,老版本还是问题太多。昨晚和廖师父聊天中告知又提交了一个weblogic的RCE,已经拿到CVE就在等待发布了阅读全文
posted @ 2017-12-23 10:19 sevck 阅读(712) 评论(3) 编辑
该文被密码保护。
posted @ 2017-12-18 17:28 sevck 阅读(2) 评论(0) 编辑
摘要: 漏洞编号:CNVD-2017-36700 漏洞编号:CVE-2017-15708 漏洞分析:https://www.javasec.cn/index.php/archives/117/ [Apache Synapse(CVE-2017-15708)远程命令执行漏洞分析] // 今年年底抽出时间看Ap阅读全文
posted @ 2017-12-10 18:55 sevck 阅读(110) 评论(0) 编辑
摘要: 很多都是用: 今天在先知看到一个方法,很神奇,记录一下: 区别在于执行命令前面加一个空格,这样就不会被记录到bash中。测试CentOS系列依然会记录,可能和Linux Kernel 有关系。 2017年12月12日更: 经过小伙伴的提示,感谢a0zy,原因不是和Kernel 有关系,而是和.bas阅读全文
posted @ 2017-12-07 10:07 sevck 阅读(66) 评论(0) 编辑
该文被密码保护。
posted @ 2017-12-06 22:30 sevck 阅读(6) 评论(0) 编辑
摘要: 由于Runtime.getRuntime().exec()中不能使用管道符等bash需要的方法,我们需要用进行一次编码 编码工具: 地址: http://jackson.thuraisamy.me/runtime-exec-payloads.html阅读全文
posted @ 2017-11-27 15:20 sevck 阅读(63) 评论(0) 编辑
摘要: 检测目录: 返回500 一般就是存在了。 下载工具: http://scan.javasec.cn/java/JavaDeserH2HC.zip 使用方法: 这个时候会生成一个ReverseShellCommonsCollectionsHashMap.ser文件,curl 这个二进制文件就可以了。 阅读全文
posted @ 2017-11-21 17:38 sevck 阅读(3041) 评论(6) 编辑
摘要: 这个是apache现在不维护的服务了。 服务使用了struts2框架,目前测试是使用的最新版。阅读全文
posted @ 2017-11-16 09:56 sevck 阅读(144) 评论(0) 编辑
摘要: pkill docker iptables -t nat -F ifconfig docker0 down brctl delbr docker0 service docker restart阅读全文
posted @ 2017-11-01 14:49 sevck 阅读(30) 评论(0) 编辑
摘要: 不多说,直接上code 效果: 最后提供一下学习教程: http://itchat.readthedocs.io/zh/latest/ 我的机器人是用的图灵的API阅读全文
posted @ 2017-10-31 10:30 sevck 阅读(64) 评论(0) 编辑
摘要: 好记性不如烂笔头。 I encountered the same ImportError today while trying to use pip. Somehow the setuptools package had been deleted in my Python environment. 阅读全文
posted @ 2017-10-30 15:13 sevck 阅读(38) 评论(0) 编辑
摘要: 您需要修改 PATH 环境变量,将Python的可执行程序及额外的脚本添加到系统路径中。将以下路径添加到 PATH 中: C:\Python2.7\;C:\Python2.7\Scripts\;请打开命令行,并且运行以下命令来修改 PATH: c:\python27\python.exe c:\py阅读全文
posted @ 2017-10-17 09:51 sevck 阅读(28) 评论(0) 编辑
该文被密码保护。
posted @ 2017-10-11 09:45 sevck 阅读(1) 评论(0) 编辑
摘要: 每次出漏洞都会用JAVA去写,不过JAVA你懂得,写GUI每次画图很吃力。 于是左右学习了下c#,期间也得到表哥storm7kb的帮助,要不然这个表格与数据绑定不知道c#怎么弄。 上一下图吧: 功能: 1.搜索会查询应用相关的漏洞,可以根据日期和名称进行排序,点击查看会跳转到相应的payload页面阅读全文
posted @ 2017-09-22 15:25 sevck 阅读(54) 评论(0) 编辑
该文被密码保护。
posted @ 2017-09-15 16:44 sevck 阅读(0) 评论(0) 编辑
摘要: androidterm: Android Terminal Emulator http://code.google.com/p/androidterm/ droidbox: Android Application Sandbox https://code.google.com/p/droidbox/阅读全文
posted @ 2017-09-15 14:37 sevck 阅读(36) 评论(0) 编辑