Web1 de abr. de 2024 · 总结起来该漏洞就是:Liferay Portal提供了Json Web Service服务,对于某些可以调用的端点,如果某个方法提供的是Object参数类型,那么就能够构造符合Java Beans的可利用恶意类,传递构造好的json反序列化串,Liferay反序列化时会自动调用恶意类的setter方法以及默认构造 ... Web2 de mar. de 2024 · 作者:Longofo@知道创宇404实验室. 前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。
Liferay Portal Json Web Service 反序列化漏洞(CVE-2024-7961)
Web21 de set. de 2024 · 作者:Longofo. 时间:2024年9月4日. 起因. 一开始是听@Badcode师傅说的这个工具,在Black Hat 2024的一个议题提出来的。这是一个基于字节码静态分 … Web9 de abr. de 2024 · JNDI注入. 这个东西是BlackHat 2016(USA)的一个议题 “A Journey From JNDI LDAP Manipulation To RCE” 提出的。. 他的攻击步骤可以概括为以下几步:. 服务端实例化JNDI InitialContext请求attacker的恶意 RMI Server. InitialContext初始化期间lookup rmi://attacker/Obj. 恶意RMIServer返回JNDI Reference ... how often can prescriptions be refilled
CyberSecHub on Twitter: "RT @JsPadoan: longofo/Apache-Dubbo …
WebF5 BIG-IP has recently suffered a serious RCE vulnerability. The main public entrypoint is the tmsh and hsqldb. There are many uses and analysis of tmsh. If you have reproduced … Web弹出计算器,命令执行payload完成。 源码分析. 在ysoserial.exploit.RMIRegistryExploit#main打上断点,main函数中获取命令行中的相关参数,并尝试连接rmi register,接着在ysoserial.exploit.RMIRegistryExploit#exploit中构造恶意对象并bind到远程register中,触发反序列化漏洞。 how often can plan b be used