fastjson反序列化漏洞
fastjson反序列化漏洞fastjson简介Fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON 表示。它还可用于将 JSON 字符串转换为等效的 Java 对象。Fastjson 可以处理任意 Java 对象,包括您没有源代码的预先存在的对象。 区分fastjso ...
阅读更多
python脚本实现~DNS欺骗攻击
DNSDNS即域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用TCP和UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符 DNS协 ...
阅读更多
Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)
Apache Solr Velocity 注入远程命令执行 EXP# Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)# 版本5.0, 5.5.5, 6.0, 6.6.5, 7.0, 7.7, 8.0, 8.3,用户可以注入自定义模板,通过Veloci ...
阅读更多
Apache Solr SSRF(CVE-2021-27905)
Apache Solr ssrf EXP# Apache Solr SSRF(CVE-2021-27905)# 需要core_name# Solr 必须配置主从模式,受影响的是从(slave)服务器# solr 支持配置两个core,分别是主(master)和从(slave),我们可以主动控制让从( ...
阅读更多
Apache Solr远程代码执行(CVE-2019-0193)EXP 出网不出网两种方式
Apache Solr    Apache Solr是一个开源的搜索服务,使用Java语言开发,主要基于HTTP和Apache Lucene实现的。Apache Solr 中存储的资源是以 Document 为对象进行存储的。每个文档由一系列的 Field 构 ...
阅读更多
看风雨,品岁月
  春风细雨述青春,夏夜繁星映心尘, 寒霜嬉染红叶落,风雪埋藏岁月痕。   听风雨道历程,看岁月写人生。一段征程,一场梦;一首歌谣,一段情。尘世纷扰,喧声缭绕,身处凡尘缭绕的烟火,又怎能在如烟世海中找到最初的方向。每当在这物欲横流的社会中摇摆不定,又怎能想到最 ...
阅读更多
记录对钓鱼邮件伪造的理解及如何进行钓鱼邮件伪造
前言     伪造钓鱼邮件之前,要先知道一些相关知识,熟悉邮件发送协议和流程,以便应对钓鱼邮件伪造过程中所出现的问题。 SPF记录    SPF全称Sender Policy Framework,是为了防范垃圾邮件而提 ...
阅读更多
半盏时光、旧梦悠长
    一曲悠扬,勾起过往,半盏时光,旧梦悠长。云水无涯,浮世清欢,淡若云烟,旧时模样。      难有此时,听一曲曾经喜欢的旋律,静坐窗前,看一场平淡无奇的风雨。    &en ...
阅读更多
认识自己,曾经的选择,是否如愿?一位渗透测试工程师的自述感言!!!
前言   如今,快到而立之年,想想距离毕业已经过去5年了,5年的时间做过结构设计(本专业),做过通信,做过开发,在到如今的网络安全,经历了大大小小的事情,相对于同届同龄的应该算经历比较丰富、成长比较曲折的吧!下面我就分享一下我的成长之路,给那些将要作选择还未作选择的人 ...
阅读更多