环境搭建我这里环境搭建参考的是本地搭建的,参考的是这位师傅的文章:https://www.penson.top/article/av40可以直接本地windows搭建,他会创建一个目录,我们将这个目录...
Oracle这个公开漏洞正在被8220挖矿组利用
有的网络攻击组织喜欢极具攻击力的0-Day漏洞,但也有的组织更愿意在那些已经公开的漏洞上下功夫,针对那些未能打好补丁的目标,不断优化策略和技术来逃避安全检测,从而最终实现入侵。近日,Imperva发布...
vulnstack——2
揽月安全团队发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!!!!! 1、DC配置 DC是域控,只能内网访问,只有一...
某次以目的为导向的内网渗透-取开发源码
本次任务是某地区软件开发公司所开发的产品,最好是能拿到源码,或者开发、测试环境的访问凭证。 首先定位目标公司的资产,使用 fofa 检索: 根据资产对应的指纹,使用一些扫描工具扫一扫: 以及新近出来的...
【Web渗透】Weblogic漏洞总结
1、XMLDecoder反序列化漏洞(CVE-2017-10271 & CVE-2017-3506)漏洞简介:Weblogic的WLS Security组件对外提供webservice服务,其...
我张嘴说不上来但我觉得垃圾的面试题
1.fastjson不出网利用2.SSRF+redis写webshell3.Weblogic文件上传的坑点大家应该经常被问到吧,这是某位粉丝经常面试跟我说过的问题,随便找了三个。但我现实攻防演练中没遇...
WebLogic RCE 复现
WebLogic Server 组件的 WLS Security 子组件存在安全漏洞, 可造成任意代码执行. poc POST /wls-wsat/CoordinatorPortType HTTP/1...
红队攻防实战之Weblogic-RCE集锦
须知少时凌云志,曾许人间第一流WebLogic未认证RCE绕过漏洞访问以下URL,未授权访问到管理后台页面(低权限的用户):发现我们现在是低权限的用户,无法安装应用,所以组合下面的漏洞可以继续利用代码...
【漏洞总结】Weblogic下CVE-2023-21839反序列化漏洞的详细学习
免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。产品简介 WebLogic是美国Ora...
[kd] Hyacinth - 一款java漏洞集合工具
声明该公众号分享的安全工具和项目均来源于网络,仅供学术交流,请勿直接用于任何商业场合和非法用途。如用于其它用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。项目https://githu...
某次目的为导向的内网渗透-取开发源码
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
ATT&CK实战系列—红队实战-2
0、靶场简介 0、靶场简介ATT&CK实战系列—红队实战(二)是红日安全团队出品的一个实战环境,该靶场模拟真实环境,本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB ...
46