- 博客(1)
- 收藏
- 关注
原创 ActiveMQ 反序列化漏洞(CVE-2015-5254)复现
Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。访问http://ip:8161即可看到web管理页面,不过这个漏洞理论上是不需要web的。jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。这里要注意:执行报错可以更换Java版本试一下,我这里使用Java-17会报错,无法执行。
2024-04-10 17:05:08 280 2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人