漏洞简介

Apache kafka组件反序列化漏洞是FileOffsetBackingStore类在反序列化本地文件时引发的，实际场景中用到的并不多，简单复现下做个记录。

漏洞简介

漏洞是由于Spring Web Flow的数据绑定问题带来的表达式注入，从而导致任意代码执行。 Spring Web Flow是Spring的一个子项目，主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题，提供了描述业务流程的抽象能力，具体可以参考Spring Web Flow 2.0 入门。

tag

marquee

1

<marquee onstart=alert(1)>xss</marquee>

svg

1
2

# <svg><script>\u{61}lert`1`<script></svg>
<svg><script>&#x0005C;u&lcub;61&#125;le</>rt&grave;1&grave;</script></svg>

body

1

<body onload=```${prompt``}`>

DATA URI

“Used to embed small items of data into a URL—rather than link to an external resource, the URL contains the actual encoded data. URIs are supported by most modern browsers except for some versions of Internet Explorer.”

Data URI 是一种提供让外置资源的直接内嵌在页面中的方案。这种技术允许我们只需单次 HTTP 请求即可获取所有需要引用的图片与样式资源。

在 RFC2397（http://tools.ietf.org/html/rfc2397）中定义了它格式规范：

1

data:[<mime type>][;charset=<charset>][;base64],<encoded data>

demo环境搭建

源码分析ysoserial, 了解java反序列化利用的常见方式，光说不练假把式，搭建demo环境，测试ysoserial利用的实际效果。

开发环境

• InteliJ IDEA
• JDK 1.8.0_112-b16
• tomcat 8.5
• MAC OS

新建项目”SimpleWebDemo”,再新建servlet文件”SimpleServlet”,项目配置如下图:

jenkins反序列漏洞跟过一遍之后，虽说梳理清楚了漏洞触发的大体流程，但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂，因此有必要整理JAVA反序列化漏洞相关的知识点。

漏洞概要

Jenkins 未授权远程代码执行漏洞, 允许攻击者将序列化的Java SignedObject对象传输给Jenkins CLI处理，反序列化ObjectInputStream作为Command对象，这将绕过基于黑名单的保护机制, 导致代码执行。

简要介绍

本文记录的是利用play渗透框架学习XXE实体攻击的过程，实验环境来自于pentesterlab Play XML Entities, 下载页面的iso, 用虚拟机软件PD或vmvare安装即可。打开虚拟机，获取虚拟机ip地址，然后访问就可以实验了，并不需要开启服务等其他操作，非常简单易用。同时还配备了课程讲解https://pentesterlab.com/exercises/play_xxe/course.

Play Framework是一个web的框架，在这个框架中，开发者可以快速的使用java或者scala编译开发web应用。这样可以有序管理代码，并且url可以像Ruby-on-Rails一样被映射。就像Ruby-on-Rails，当收到Http请求时，Play框架管理多种文本类型。

代码注入和命令注入

代码注入攻击通常是指：用户输入未作严格过滤，导致提交的内容传入某些函数会被当做PHP代码执行,而命令注入攻击通常是指：用户输入未作严格过滤，导致提交的内容传入某些函数会被当做系统命令执行。
可以看出代码注入攻击和命令注入攻击是类似的，不同点在于，代码注入攻击要实现的功能限制在注入的语言本身，而命令注入是利用已有的系统命令，通常受shell限制。

调用sklearn内置的逻辑回归和感知机训练鸢尾花（Iris）数据集。