会员
众包
新闻
博问
闪存
赞助商
HarmonyOS
Chat2DB
所有博客
当前博客
我的博客
我的园子
账号设置
会员中心
简洁模式
...
退出登录
注册
登录
crayonxiaoxin
萌新修行日志
博客园
首页
新随笔
联系
订阅
管理
2023年7月6日
CVE-2023-34843
摘要: # 漏洞名称 # Traggo Server 文件读取(CVE-2023-34843) # 利用条件 traggo/server 版本 0.3.0 # 漏洞原理 Traggo Server 是一个基于标签的时间跟踪工具。CVE-2023-34843 中,攻击者可构造恶意请求读取遍历系统上的文件,造成
阅读全文
posted @ 2023-07-06 17:04 crayonxiaoxin
阅读(555)
评论(0)
推荐(0)
2023年5月23日
CVE-2022-22980
摘要: ```python #CVE-2022-22980 Spring Data MongoDB SpEL表达式注入 import requests import urllib import base64 import argparse def poc(url,ip,prot): urll=f'{url}
阅读全文
posted @ 2023-05-23 18:18 crayonxiaoxin
阅读(207)
评论(0)
推荐(0)
CVE-2022-22965
摘要: ```python # CVE-2022-22965:Spring远程代码执行 import requests import argparse import time import re import base64 import urllib.parse header = { "Accept-Enc
阅读全文
posted @ 2023-05-23 18:18 crayonxiaoxin
阅读(83)
评论(0)
推荐(0)
CVE-2022-22963
摘要: ```python # Spring Cloud Function SpEL 代码注入 (CVE-2022-22963) import requests import argparse import base64 headers = { "Accept-Encoding": "gzip, defla
阅读全文
posted @ 2023-05-23 18:17 crayonxiaoxin
阅读(249)
评论(0)
推荐(0)
CVE-2022-22947
摘要: ```python #CVE-2022-22947:Spring Cloud Gateway 远程代码执行 import requests import json import sys import base64 import argparse import re url1='/actuator/g
阅读全文
posted @ 2023-05-23 18:04 crayonxiaoxin
阅读(183)
评论(0)
推荐(0)
2023年1月12日
S2-037 CVE-2016-4438 远程代码执行
摘要: # 漏洞名称 S2-037 CVE-2016-4438 远程代码执行 # 利用条件 Struts 2.3.20 - Struts Struts 2.3.28.1 使用了REST插件 # 漏洞原理 Apache Struts2在使用REST插件的情况下,攻击者使用REST调用恶意表达式可以远程执行代码
阅读全文
posted @ 2023-01-12 18:27 crayonxiaoxin
阅读(452)
评论(0)
推荐(0)
S2-061 CVE-2020-17530 远程代码执行
摘要: 漏洞名称 S2-061 CVE-2020-17530 远程代码执行 利用条件 Struts 2.0.0 - Struts 2.5.25 漏洞原理 s2-061漏洞产生的原因是Struts2 会对某些标签属性(比如 id,其他属性有待寻找) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{
阅读全文
posted @ 2023-01-12 17:40 crayonxiaoxin
阅读(300)
评论(0)
推荐(0)
S2-059 CVE-2019-0230 远程代码执行
摘要: 漏洞名称 S2-059 CVE-2019-0230 远程代码执行 利用条件 Struts 2.0.0 - Struts 2.5.20 漏洞原理 漏洞产生的主要原因是因为Apache Struts框架在强制执行时,会对分配给某些标签属性(如id)的属性值执行二次ognl解析。攻击者可以通过构造恶意的O
阅读全文
posted @ 2023-01-12 16:01 crayonxiaoxin
阅读(104)
评论(0)
推荐(0)
2023年1月11日
s2-057 CVE-2018-11776 远程代码执行
摘要: 漏洞名称 s2-057 CVE-2018-11776 远程代码执行 利用条件 Struts 2.0.4 - Struts 2.3.34 Struts 2.5.0 - Struts 2.5.16 漏洞原理 该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespa
阅读全文
posted @ 2023-01-11 17:35 crayonxiaoxin
阅读(169)
评论(0)
推荐(0)
S2-053 CVE-2017-12611 远程代码执行
摘要: 漏洞名称 S2-053 CVE-2017-12611 远程代码执行 利用条件 Struts 2.0.0 - 2.3.33 Struts 2.5 - Struts 2.5.10.1 漏洞原理 Struts2在使用Freemarker模板引擎的时候,同时允许解析OGNL表达式。导致用户输入的数据本身不会
阅读全文
posted @ 2023-01-11 14:16 crayonxiaoxin
阅读(226)
评论(0)
推荐(0)
下一页
公告