Part1 前言 在日常的渗透测试、红队评估项目中,中间件层面的漏洞挖掘是非常重要一环,Weblogic中间件在最近几年接连被爆出很多高危漏洞,基本上都是可以直接拿到权限的。主流...
Shiro反序列化在Weblogic下无利用链的拿权限方法
Part1 前言 Shiro反序列化漏洞虽然出现很多年了,但是在平时的攻防比赛与红队评估项目中还是能遇到。主站也许遇不到Shiro漏洞,但是主站边缘域名、全资子公司的子域名、边缘...
认识teler-waf软件:Go框架的以安全为中心的HTTP中间件
开发人员发布了一款用于Go应用程序的新工具,旨在对抗基于Web的攻击。开发人员兼安全工程师Dwi Siswanto于1月2 日透露了开源teler-waf软件。这位24岁的年轻人在Twitter上表示...
OA/中间件/CMS等漏洞搜集项目
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。项目介绍对网上出现的各种OA、中间件、CMS等漏洞进行...
单机日志分析工具:logC
logC简介信息安全工作场景很多,这里针对个人的一个工作场景自制一个日志分析工具。在应急响应的时候如何从大量web日志中寻找和提取有用信息是我工作中所遇到的一个痛点。学习众多道友分享的文章后自己也做了...
用户分享 | 初探悬镜·云鲨RASP
自云鲨RASP征文体验活动上线以来,就受到了广大用户地热烈欢迎现将优秀投稿与大家一起分享让我们一起深入体验云鲨RASP作品发布《初探悬镜·云鲨RASP》作者:H老师01为什么需要RASPR...
Weblogic 2019-2729反序列化漏洞绕防护拿权限的实战过程
Part1 前言 大家好,我是ABC_123。前两期分享了《第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结》、《第15篇:内网横向中windows各端...
Numen安全研究员发现Apache Linkis漏洞CVE-2022-44645
前言Apache Linkis 在上层应用程序和底层引擎之间构建了一层计算中间件。通过使用 Linkis 提供的 REST/JDBC/Shell 等标准接口,上层应用可以方便地连接访问 MySQL/S...
漏洞复现 金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
重温OMI:分析CVE-2022-29149,Azure OMI中的权限提升漏洞
本文为译文,原文链接:https://www.wiz.io/blog/omi-returns-lpe-technical-analysis作为2022年6月补丁星期二的一部分,微软发布了一个补...
【中间件】Weblogic CVE 漏洞总结
目录一、Weblogic 介绍二、漏洞相关2.1、已收集漏洞2.2、weblogic漏洞扫描工具2.3、常用弱口令2.4、通过任意文件读取来获取weblogic账号密码三、Weblogic-CVE漏洞...
SaiDict:弱口令/敏感目录/敏感文件等渗透测试常用字典
SaiDict 渗透测试字典该项目维护者收藏了弱口令,敏感目录,敏感文件等渗透测试常用攻击字典。用于项目的安全审计与安全检测。目前字典的目录大概分布如下:账户字典 |-常用弱密码 |-常用账户名 |-...
20