未分类

CVE-2019-12086 jackson任意文件读取漏洞

CVE-2019-12086 jackson任意文件读取漏洞
漏洞说明 CVE-2019-12086:在2.9.9之前的FasterXML jackson-databind 2.x中发现了漏洞。在开启Default Typing的情况下,且classpath中存在mysql-connector-java 8.0.15版本(2019.2.1发布)以下,攻击者可以通过发送恶意json数据读取任意文件。   环境搭建 引入jar包: jackson-databind-2.……继续阅读 »

Admin 2周前 (08-12) 29浏览 0评论 0个赞

未分类

Java代码审计:随手记2

Java代码审计:随手记2
JAVA代码审计的一些Tips XXE 参考文章: https://xz.aliyun.com/t/1633 #JAVA代码审计的一些Tips(附脚本) http://www.leadroyal.cn/?p=562 #Java服务XXE漏洞防御方法 https://blog.spoock.com/2018/10/23/java-xxe/ javax.xml.parsers.DocumentBuilder javax……继续阅读 »

Admin 4周前 (07-29) 29浏览 0评论 0个赞

未分类

Java代码审计:随手记

Java代码审计:随手记
IntelliJ IDEA 使用 FindBugs   JavaID 通过正则匹配代码中的关键字 python2 javaid.py -d  jeecg-master   jar第三方组件Dependency-check依赖检查工具 GitHub:https://github.com/jeremylong/DependencyCheck/releases Maven插件模式 作为 maven ……继续阅读 »

Admin 4周前 (07-29) 27浏览 0评论 0个赞

未分类

ImageMagick exp

ImageMagick exp
引用:https://www.exploit-db.com/exploits/39767 CVE-2016-3714 RCE 分析 exploit.mvg -=-=-=-=-=-=-=-=- push graphic-context viewbox 0 0 640 480 fill 'url(https://example.com/image.jpg"|ls "-la)' pop graphic-conte……继续阅读 »

Admin 2个月前 (07-03) 48浏览 0评论 0个赞