- 博客(3)
- 收藏
- 关注
RSS订阅原创 免费的Tomcat 远程代码执行漏洞(CVE-2025-24813)漏洞复线环境(无需自己构建环境)
免费的Tomcat 远程代码执行漏洞(CVE-2025-24813)请访问:
2025-04-07 08:59:37
125
原创 AJ-Report 认证绕过与远程代码执行漏洞(CNVD-2024-15077)漏洞分析及复现
verification方法未对传入的参数进行过滤,可以执行JavaScript函数,导致命令执行漏洞。validationRules可来自用户输入,没有对用户输入进行充分的验证和清理,恶意用户可能构造恶意的JavaScript代码并将其传递给validationRules,从而在服务器上执行不安全的操作。例如,你可以将JavaScript代码作为字符串传入,eval()会执行这段代码并返回执行结果。允许动态执行脚本,因此如果传入的脚本内容来自不可信的来源,就有可能遭遇。
2025-01-20 14:17:22
1736
原创 Webmin 远程命令执行漏洞(CVE-2019-15107)复现
该漏洞由于password_change.cgi文件在重置密码功能中存在一个代码执行漏洞,该漏洞允许恶意第三方在缺少输入验证的情况下而执行恶意代码版本满足要求,且服务器的配置文件允许修改密码时,在不知道webmin的用户和密码条件下,可以任意执行代码。https://www.secsnow.cn/snowlab/2d9748be-3184-4ede-bf9c-f98514ba021c/打开题目环境后抓包请求以下payload,需要注意的点是需要带Referer字段,不然无法进行修改密码。POST/pass
2025-01-19 15:59:14
441
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人