Advertisement

CVE-2019-18935:Telerik UI for ASP.NET AJAX中的.NET JSON反序列化导致的RCE漏洞

  •  5星
  •     浏览量: 0
  •     大小:None
  •      文件类型:ZIP

简介:
CVE-2019-18935是Telerik UI for ASP.NET AJAX中一个严重的安全漏洞,源于.NET JSON反序列化实现不当,可能被恶意利用以执行任意代码。此漏洞影响了全球众多网站的安全性,需要及时更新和修复。 CVE-2019-18935 是一个在Telerik UI for ASP.NET AJAX中的.NET JSON反序列化漏洞的概念验证漏洞,它允许远程执行代码。 描述: 这是一个广泛使用的Web应用程序UI组件套件。由于其以不安全的方式处理JSON对象的反序列化过程,因此可能在软件的基础主机上执行任意远程代码。关于这一问题的具体细节,请参考相关的技术演讲和演示文稿。 入门指南: 先决条件 为了使用build-dll.bat编译混合模式.NET程序集DLL有效负载,您需要进行相应的安装配置。 安装步骤 克隆GitHub上的相关项目仓库以获取漏洞利用的相关文件和说明。

全部评论 (0)

还没有任何评论哟~
客服
客服
客服关闭
  • CVE-2019-18935:Telerik UI for ASP.NET AJAX.NET JSONRCE
    优质
    CVE-2019-18935是Telerik UI for ASP.NET AJAX中一个严重的安全漏洞,源于.NET JSON反序列化实现不当,可能被恶意利用以执行任意代码。此漏洞影响了全球众多网站的安全性,需要及时更新和修复。 CVE-2019-18935 是一个在Telerik UI for ASP.NET AJAX中的.NET JSON反序列化漏洞的概念验证漏洞,它允许远程执行代码。 描述: 这是一个广泛使用的Web应用程序UI组件套件。由于其以不安全的方式处理JSON对象的反序列化过程,因此可能在软件的基础主机上执行任意远程代码。关于这一问题的具体细节,请参考相关的技术演讲和演示文稿。 入门指南: 先决条件 为了使用build-dll.bat编译混合模式.NET程序集DLL有效负载,您需要进行相应的安装配置。 安装步骤 克隆GitHub上的相关项目仓库以获取漏洞利用的相关文件和说明。
  • Apache Log4j 1.2.XCVE-2019-17571:远程代码执行
    优质
    简介:Apache Log4j 1.2.X中存在的CVE-2019-17571漏洞,源于软件对用户提供的输入缺乏足够的验证机制,攻击者可利用该漏洞通过恶意构造的数据触发反序列化操作,从而导致远程代码执行。此高危安全问题需立即更新修复。 Apache Log4j 1.2.X 存在反序列化远程代码执行漏洞预警 **漏洞描述** Apache Log4j 是一款基于 Java 的开源日志记录工具,由美国阿帕奇(Apache)软件基金会开发。Log4j 1.2.X 系列版本中存在一个反序列化远程代码执行的漏洞。攻击者可以利用该漏洞来执行任意恶意命令。 在 Log4j 1.2 中包含了一个名为 SocketServer 的类,此类容易对不可信数据进行反序列化处理。当其监听的日志数据来自不可信网络流量时,与反序列化的工具结合使用的情况下,能够使攻击者利用该漏洞远程执行任意代码。 **影响范围** 受影响的版本包括从 1.2.4 到最新版 1.2.17 的所有 Log4j 版本。 **修复建议** - 升级到 Apache Log4j 2 系列的最新版本 - 避免将 SocketServer 类开启的 socket 端口暴露在互联网上 **漏洞验证** 可以通过特定的方法来确认此漏洞的存在,确保系统的安全。
  • WebLogic(规避CVE-2019-2725)检测POC.txt
    优质
    本文件为针对WebLogic服务器的安全检测工具,旨在帮助安全专家和管理员识别并避免因CVE-2019-2725漏洞引发的潜在风险。通过执行此POC(概念验证),用户可以有效检验系统是否受到该反序列化漏洞的影响,并采取相应的防护措施以确保WebLogic环境的安全性。 关于WebLogic反序列化漏洞(绕过CVE-2019-2725)的检测POC,目前网上相关资料极少,请谨慎对待。
  • Apache OFBiz CVE-2021-26295: RMI...
    优质
    本篇文章主要介绍了Apache OFBiz中的CVE-2021-26295 RMI反序列化安全漏洞,详细解析了该漏洞的原因、影响及修复方法。 CVE-2021-26295 是 Apache OFBiz 中的一个 rmi 反序列化漏洞的利用证明(POC)。使用该 POC 时需要将 ysoserial.jar 放置在指定目录,并且不能使用较高版本的 Java。
  • Apache OFBizCVE-2021-26295).md
    优质
    本文章介绍了Apache OFBiz框架中的一个关键安全漏洞(CVE-2021-26295),分析了该漏洞的技术细节及其潜在危害,并提供了相应的修复建议。 CVE-2021-26295 是 Apache OFBiz 中的一个反序列化漏洞。此漏洞可能被攻击者利用来执行恶意代码或获取敏感数据。建议受影响的用户尽快更新到最新版本以修复该问题。
  • Java检测工具V1.2_WebLogic XML检测工具(CVE-2017-10271)
    优质
    Java反序列化漏洞检测工具V1.2专为识别CVE-2017-10271 WebLogic XML反序列化安全风险设计,帮助用户快速、准确地评估系统脆弱性并采取防护措施。 Java反序列化漏洞检查工具V1.2用于检测Weblogic XML反序列化漏洞(CVE-2017-10271)。
  • WinRAR RCE (CVE-2023-38831) - 资源包
    优质
    本资源包聚焦于WinRAR RCE漏洞(CVE-2023-38831),提供详尽的分析报告、补丁更新及防护建议,旨在帮助用户了解并防范该安全威胁。 WinRAR 是一款功能强大的压缩包管理器,在 Windows 环境下提供 RAR 档案工具的图形界面。该软件可用于备份数据、缩小电子邮件附件大小,并且可以解压从互联网下载的各种类型的文件,如 RAR 和 ZIP 文件。此外,它还可以创建新的 RAR 及 ZIP 格式的压缩类文件。 自 5.60 版本开始,WinRAR 使用了新图标设计。不过用户可以通过官网提供的主题包将界面恢复为原来的风格。 WinRAR 存在一个安全漏洞:当处理包含同名文件和文件夹的压缩包时可能会执行恶意代码。攻击者可以创建一个由恶意文件与正常文件组成的特制压缩包,诱使受害者打开该文件后,在受害者的机器上执行任意代码。在 RARLabs WinRAR 6.23 版本之前的所有版本中都存在这一漏洞,这使得攻击者有可能利用此漏洞来执行任意代码。
  • WebLogic XML检测工具(CVE-2017-10271)
    优质
    简介:本工具专门用于检测Oracle WebLogic Server中存在的一项高危XML反序列化漏洞(CVE-2017-10271),能有效评估系统风险,保障网络安全。 好用的WebLogic XML反序列化漏洞检查工具针对CVE-2017-10271漏洞进行检测,适用于以下版本: - Oracle WebLogic Server 10.3.6.0.0 - Oracle WebLogic Server 12.2.1.1.0 - Oracle WebLogic Server 12.1.3.0.0
  • CVE-2019-2890详情
    优质
    CVE-2019-2890为2019年发现的安全漏洞,影响多个Adobe产品。此漏洞允许攻击者通过特制文件执行任意代码,需及时更新补丁以确保安全。 声明仅用于学习交流使用,其他用途后果自负。说明已经将相关jar文件都导入到了项目中,并且利用方式采用yso的JRMP,在学习调试过程中可以修改利用方式。首先需要将weblogic下的SerializedSystemIni.dat文件放置到安全文件夹下。然后需将yso重命名为ysoserial.jar ,并将其导入到lib目录下。接着进入weblogic / wsee / jaxws / persistence / PersistentContext.java中的getObject方法,设置IP地址和端口。 ```java try { var3.writeObject(Poc.getObject(127.0.0.1:8000)); } catch (Exception e) { e.printStackTrace(); } ``` 确保按照上述步骤操作后进行测试。
  • WebLogicCVE-2017-10271(版本12.1.3.0.0)
    优质
    简介:CVE-2017-10271是Oracle WebLogic Server 12.1.3.0.0中的一个严重漏洞,允许远程攻击者通过HTTP请求执行任意代码。该序列化漏洞威胁WebLogic系统的安全稳定性。 WebLogic序列化漏洞CVE-2017-10271影响版本为12.1.3.0.0。此漏洞允许攻击者通过发送恶意的HTTP请求来远程执行代码,无需身份验证即可利用该漏洞在受影响的系统上获得完全控制权。