文件名称:xalanjava源码-jackspoilt:导致RCE的上下文反序列化漏洞-远程代码执行
文件大小:16KB
文件格式:ZIP
更新时间:2024-06-25 17:30:14
系统开源
xalan java源码我们在证明什么 Jackson 数据绑定反序列化漏洞 应用环境 基于Spark框架的微服务() 取决于 com.fasterxml.jackson.core:jackson-databind:2.8.8 夏兰:夏兰:2.7.2 不安全的反序列化(多态类型) 不可信输入接受 目录结构 src/... : 描述反序列化利用的源代码(使用) 漏洞利用:为DeSerializaiton漏洞制作小工具/利用的源代码 攻击脚本:其他 shell 脚本,用于在应用程序服务上引发正常和恶意请求 我怎样才能使用它? 启动 shell 提示(启动易受攻击的 Web 实例) git 克隆 cd 困境 mvn 包 启动应用服务器: java -jar target/jackspoilt-1.0-SNAPSHOT.jar 启动 shell 提示(创建小工具或漏洞利用) cd 困境 mvn exec:java -D"exec.mainClass"="EncodeExploit" 上面的命令在attackscripts目录中创建attack.json cd 攻击脚本 ./add.sh ./l
【文件预览】:
jackspoilt-master
----gradlew.bat(2KB)
----gradlew(5KB)
----pom.xml(3KB)
----exploit()
--------Exploit.java(724B)
--------EncodeExploit.java(2KB)
----gradle()
--------wrapper()
----src()
--------test()
--------main()
----dependency-reduced-pom.xml(2KB)
----.gitignore(0B)
----README.md(1KB)
----attackscripts()
--------exploit.sh(85B)
--------list.sh(71B)
--------add.sh(240B)
--------attack.json(2KB)
----settings.gradle(32B)
----build.gradle(1011B)