yaml payload:Spring Cloud SnakeYAML反序列化一键注入cmdshell和reGeorg 源码

spectrum3739 14 0 ZIP 2021-04-06 11:04:16

自述文件 Spring Cloud SnakeYAML一键注册cmd shell和reGeorg 利用条件: 可以POST请求目标网站的/env接口设置属性可以POST请求目标网站的/refresh接口刷新配置(存在spring-boot-starter-actuator依赖) 目标依赖的spring-cloud-starter版本<1.3.0.RELEASE 目标可以请求攻击者的HTTP服务器(请求可出外网) 仅在JDK1.8及Spring1.x测试通过,其他版本自测。利用方法如下: 编译class文件然后打jar包 cd yaml-payload javac src/artsploit/AwesomeScriptEngineFactory.java -cp ./lib javac src/artsploit/Tunnel.java -cp ./lib javac src/artsp

文件列表

yaml-payload-master.zip (预估有个16文件)

yaml-payload-master

.gitignore 2KB

src

META-INF

services

javax.script.ScriptEngineFactory 36B

artsploit

Tunnel.java 4KB

GameInfo.java 2KB

AwesomeScriptEngineFactory.java 3KB

README.md 2KB

lib

spring-beans-4.3.9.RELEASE.jar 745KB

tomcat-embed-core-8.5.15.jar 2.91MB

spring-context-4.3.9.RELEASE.jar 1.09MB

spring-web-4.3.9.RELEASE.jar 801KB

spring-core-4.3.9.RELEASE.jar 1.07MB

spring-webmvc-4.3.9.RELEASE.jar 894KB

spring-boot-1.4.7.RELEASE.jar 654KB

yaml-payload.yml 177B

yaml-payload.iml 484B

yaml-payload.jar 9KB

用户评论

暂无评论

C# 序列化与反序列化

C#XmlSerializer分别为对ArrayList的以及对类的实例化对象的序列化与反序列化

37 2019-06-05
使用XStream序列化反序列化对象

使用XStream序列化/反序列化对象

44 2019-06-05
对象的序列化与反序列化

对象的序列化与反序列化学习笔记

28 2019-06-05
对象_序列化_反序列化相关资料

对象-序列化-反序列化相关资料

32 2019-06-05
C#序列化反序列化实例

通过一个简单的序列化反序列化方法，其中有自定义事件，窗口传递参数，共享对象等知识

41 2019-07-11
C#序列化与反序列化

C#序列化与反序列化，C#序列化与反序列化，很清晰的一个示例

29 2019-07-11
C#序列化反序列化.cs

C#序列化-反序列化.cs

32 2019-07-11
XML文件序列化与反序列化

XML文件序列化与反序列化

23 2019-07-11
JSON序列化反序列化带List

delphiJSON序列化反序列化带List

28 2019-07-11
XML序列化与反序列化实战

可以将已知结构的XMl文件生成C#结构体代码，并将该结构体与xml文件进行互相转换

20 2019-07-12

yaml payload:Spring Cloud SnakeYAML反序列化一键注入cmdshell和reGeorg 源码

文件列表

用户评论

推荐下载