- ALL
- java33
- linux32
- 工具17
- 其他14
- 数据库7
- vue5
- git5
- nas5
- 前端5
- ai3
- framework3
- windows3
- app2
- 脚本2
- docker2
- hexo2
- maven2
- 智能家居2
- 小程序2
- spring2
- 资源1
- api1
- mysql1
- 安全1
- markdown1
- question1
- python1
- 运维1
- 数据结构1
- 数据传输1
- nginx1
记录一次fastjson序列化漏洞的攻击的完整复现
前言 开发过程中经常会引用各种第三方jar包,但是第三方jar包常常包含漏洞,很多黑客是可以通过这些漏洞免验证入侵服务器的。该文目的是为了引导各位同行的重视和研究,避免自己错误的引入包含漏洞的jar包,避免被黑客入侵服务器,泄露重要数据,使公司财产遭受损失。 1.下载抓包工具 https://portswigger.net/burp/releases/download?product=pro&version=2021.5.1&type=WindowsX64 2.工具破解(注册机+破解包) 使用阿里云盘下载 https://www.alipan.com/s/87Lnm1SwNRd 使用方法 双机打开burp-loader-keygen.jar注册机 ==在放置目录下执行== 1java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar 使用Manual activation激活方式 3.环境准备 为了验证服务确实执行了远程指令使用网站...