XStream反序列化漏洞(CVE-2020-26258&26259),修复jar包xstream-1.4.15.jarXstream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。
XStream是一款开源软件,允许在BSD许可证的许可下分发。
0x01漏洞描述Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。
影响版本Xstream=1.4.15风险等级严重
XStream是一款开源软件,允许在BSD许可证的许可下分发。
0x01漏洞描述Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。
影响版本Xstream=1.4.15风险等级严重
2023/6/13 19:33:49
613KB
1
里面包含两个版本.net4.0版和.net4.5版,并带有简单的代码使用示例,一秒会用。
就几行示例代码,一看就会,有对象序列化成字符串的代码,也有字符串反序列化成对象的代码,还有反序列化成集合的代码
就几行示例代码,一看就会,有对象序列化成字符串的代码,也有字符串反序列化成对象的代码,还有反序列化成集合的代码
2023/6/12 0:49:53
292KB
1
已到2019年了居然会回到过去用VS2008开发WinCE6.0软体,我用的WebApi, 开发,调试环境搭建好之后,遇到JSON序列化及反序列化的问题(用的Newtonsoft.Json.Compact.dll), 刚开始简单序列化数据传入到服务端没有什么问题,但当遇到List这种情况时不断报错(不支持OpenGeneric方法的GetParameters)。
最终的解决方式: 更换json的Dll到3.5.0.8这个版本(刚开始使用的版 为3.5.0.0)看到10月份有人说跟3500报错一样,我不知道他的具体问题。
有需要的可私信息我evil_zheng@163.com
最终的解决方式: 更换json的Dll到3.5.0.8这个版本(刚开始使用的版 为3.5.0.0)看到10月份有人说跟3500报错一样,我不知道他的具体问题。
有需要的可私信息我evil_zheng@163.com
2016/1/21 10:27:50
118KB
1
已到2019年了居然会回到过去用VS2008开发WinCE6.0软体,我用的WebApi, 开发,调试环境搭建好之后,遇到JSON序列化及反序列化的问题(用的Newtonsoft.Json.Compact.dll), 刚开始简单序列化数据传入到服务端没有什么问题,但当遇到List这种情况时不断报错(不支持OpenGeneric方法的GetParameters)。
最终的解决方式: 更换json的Dll到3.5.0.8这个版本(刚开始使用的版 为3.5.0.0)看到10月份有人说跟3500报错一样,我不知道他的具体问题。
有需要的可私信息我evil_zheng@163.com
最终的解决方式: 更换json的Dll到3.5.0.8这个版本(刚开始使用的版 为3.5.0.0)看到10月份有人说跟3500报错一样,我不知道他的具体问题。
有需要的可私信息我evil_zheng@163.com
2016/1/21 10:27:50
118KB
1
OracleFusionMiddlewareOracleWebLogicServer组件安全漏洞,这个是weblogic12.1.3.0版本的补丁包,有需要的可以下载
2018/9/2 5:14:25
6.95MB
1
Weblogicwls-wsat组件反序列化漏洞(CVE-2017-10271)利用脚本。
命令执行并回显直接上传shell在linux下weblogic10.3.6.0测试OK运用方法及参数pythonweblogic_wls_wsat_exp.py-t172.16.80.131:7001usage:weblogic_wls_wsat_exp.py[-h]-tTARGET[-cCMD][-oOUTPUT][-sSHELL]optionalarguments:-h,--helpshowthishelpmessageandexit-tTARGET,--targetTARGETweblogicipandport(eg->172.16.80.131:7001)-cCMD,--cmdCMDcommandtoexecute,defaultis"id"-oOUTPUT,--outputOUTPUToutputfilename,defaultisoutput.txt-sSHELL,--shellSHELLlocaljspfilenametoupload,andset-oxxx.jsp
命令执行并回显直接上传shell在linux下weblogic10.3.6.0测试OK运用方法及参数pythonweblogic_wls_wsat_exp.py-t172.16.80.131:7001usage:weblogic_wls_wsat_exp.py[-h]-tTARGET[-cCMD][-oOUTPUT][-sSHELL]optionalarguments:-h,--helpshowthishelpmessageandexit-tTARGET,--targetTARGETweblogicipandport(eg->172.16.80.131:7001)-cCMD,--cmdCMDcommandtoexecute,defaultis"id"-oOUTPUT,--outputOUTPUToutputfilename,defaultisoutput.txt-sSHELL,--shellSHELLlocaljspfilenametoupload,andset-oxxx.jsp
2018/5/20 16:06:31
7KB
1
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用本人的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
2017/9/22 3:53:57
5.17MB
1
在日常工作中,钉钉打卡成了我生活中不可或缺的一部分。然而,有时候这个看似简单的任务却给我带来了不少烦恼。
每天早晚,我总是得牢记打开钉钉应用,点击"工作台",再找到"考勤打卡"进行签到。有时候因为工作忙碌,会忘记打卡,导致考勤异常,影响当月的工作评价。而且,由于我使用的是苹果手机,有时候系统更新后,钉钉的某些功能会出现异常,使得打卡变得更加麻烦。
另外,我的家人使用的是安卓手机,他们也经常抱怨钉钉打卡的繁琐。尤其是对于那些不太熟悉手机操作的长辈来说,每次打卡都是一次挑战。他们总是担心自己会操作失误,导致打卡失败。
为了解决这些烦恼,我开始思考是否可以通过编写一个全自动化脚本来实现钉钉打卡。经过一段时间的摸索和学习,我终于成功编写出了一个适用于苹果和安卓系统的钉钉打卡脚本。
2024-04-09 15:03
15KB