密码保护：DIR503A 命令执行1

无法提供摘要。这是一篇受保护的文章。

2023年11月1日 0条评论 864点热度 0人点赞 hu1y40 阅读全文

无法提供摘要。这是一篇受保护的文章。

2023年10月24日 0条评论 801点热度 0人点赞 hu1y40 阅读全文

实验环境推荐使用的环境备注操作系统 Windows 7 SP1 虚拟机 Vmware 调试器 Windbg 反汇编器 IDA Pro 漏洞软件 Firefox 3.6.16 动态分析又是火狐。。。之前做过一次符号表从服务器上下载的不对，需要自己编译，真不想再编译了，有需要的可以参考CVE-2013-0750的环境搭建方法。这里我就动态看一下堆栈然后静态分析了。而且还有个疑惑，我Win7虚拟机上的Windbg现在开启会大量的时间卡在如下情况，不知道啥原因。。 push eax压入this指针，call [e…

2023年10月8日 0条评论 646点热度 0人点赞 hu1y40 阅读全文

0x01 概述 Apache Tomcat是一个开源的Java Servlet容器和JavaServer Pages（JSP）容器。它是由Apache软件基金会开发和维护的，是一个轻量级、快速、可扩展的Web服务器，用于执行Java Servlet和JavaServer Pages技术。 Tomcat是一个独立的服务器，它可以用作Java应用程序的Web服务器，也可以作为Servlet容器集成到其他Web服务器（例如Apache HTTP服务器）中。它可以处理HTTP请求，并将它们传递给相应的Servlet或JSP…

2023年10月7日 0条评论 606点热度 0人点赞 hu1y40 阅读全文

2023年10月7日 0条评论 596点热度 0人点赞 hu1y40 阅读全文

0x01 概述 Quartz是一个功能丰富的开源作业调度库，可以集成到几乎任何Java应用程序中——从最小的独立应用程序到最大的电子商务系统。Quartz可以用于创建简单或复杂的计划，以执行数十个、数百个甚至数以万计的作业；这些作业的任务被定义为标准的Java组件，可以执行几乎任何你编程的任务。Quartz调度器包含许多企业级功能，例如对JTA事务和集群的支持。笔者通过对数百个真实项目引入组件的分析选出了Quartz组件的常见漏洞进行分析。本次分析的是CVE-2019-13990。该漏洞是由于XMLSchedul…

2023年10月7日 0条评论 631点热度 0人点赞 hu1y40 阅读全文

0x01 概述 Hutool 是一个Java工具库，提供了丰富的工具类和方法，方便开发者在Java应用程序中进行各种常见任务的处理。它具有简单易用、功能丰富、性能优越等特点，被广泛用于Java开发中。笔者通过对数百个真实项目引入组件的分析选出了该组件的常见漏洞进行分析。本次分析的是CVE-2022-22885，Hutool-http执行HttpRequest操作时的证书验证漏洞。 0x02 组件使用场景 Hutool-http组件是基于HttpUrlConnection的Http客户端封装。其中的HttpReq…

2023年10月7日 0条评论 615点热度 0人点赞 hu1y40 阅读全文

0x01 概述 Hutool 是一个Java工具库，提供了丰富的工具类和方法，方便开发者在Java应用程序中进行各种常见任务的处理。它具有简单易用、功能丰富、性能优越等特点，被广泛用于Java开发中。笔者通过对数百个真实项目引入组件的分析选出了Hutool组件的常见漏洞进行分析。本次分析的是CVE-2022-4565，Hutool-core执行unzip操作时的资源消耗漏洞。 0x02 组件使用场景 Hutool-core组件包括Bean操作、日期、各种Util等，其中的ZipUtil类在压缩文件，解压文件等操作…

2023年10月7日 0条评论 603点热度 0人点赞 hu1y40 阅读全文

0x01 概述 Hutool 是一个Java工具库，提供了丰富的工具类和方法，方便开发者在Java应用程序中进行各种常见任务的处理。它具有简单易用、功能丰富、性能优越等特点，被广泛用于Java开发中。笔者通过对数百个真实项目引入组件的分析选出了Hutool组件的常见漏洞进行分析。本次分析的是CVE-2018-17297，Hutool-core执行unzip操作时的路径遍历漏洞。 0x02 组件使用场景 Hutool-core组件包括Bean操作、日期、各种Util等，其中的ZipUtil类在压缩文件，解压文件等操…

2023年10月7日 0条评论 612点热度 0人点赞 hu1y40 阅读全文

0x01 概述 Apache Commons Compress 是一个 Java 库，旨在提供用于压缩和解压缩各种压缩格式的功能。它是 Apache 软件基金会的一个项目，为 Java 开发人员提供了处理压缩文件和流的通用接口和工具。笔者通过对数百个真实项目引入组件的分析选出了Commons Compress组件的常见漏洞进行分析。本次分析的是CVE-2021-35515，Commons Compress对7z压缩文件解压时造成的无限循环漏洞。 0x02 组件使用场景 Apache Commons Compres…

2023年10月7日 0条评论 559点热度 0人点赞 hu1y40 阅读全文

密码保护：DIR503A 命令执行1

密码保护：DIR503A Remote Command Execute

CVE-2011-0065 Firefox mChannel UAF漏洞

CVE-2022-42252 Apache Tomcat请求走私漏洞

CVE-2017-5664 Apache Tomcat安全限制绕过漏洞

CVE-2019-13990 Quartz XXE漏洞

CVE-2022-22885 Hutool证书验证漏洞

CVE-2022-4565 Hutool资源消耗漏洞

CVE-2018-17297 Hutool 路径遍历漏洞

CVE-2021-35515 Apache Commons Compress拒绝服务漏洞

近期文章

近期评论