Apache Spark 命令注入(CVE-2022-33891)格式化文档
Apache Spark 命令注入(CVE-2022-33891)漏洞复现
CVE-2022-33891POC
Apache Spark 命令注入(CVE-2022-33891)POC
CVE-2022-33891
影响版本
Apache spark version<3.0.3
3.1.1= 3.3.0
修复方案
1.建议升级到安全版本,参考官网链接:
https://spark.apache.org/downloads.html
2.安全设备路径添加黑名单或者增加WAF规则(临时方案)。
2022-08-10 22:00:10
2.46MB
1
CVE-2022-33891POC
Apache Spark 命令注入(CVE-2022-33891)POC
CVE-2022-33891
影响版本
Apache spark version<3.0.3
3.1.1= 3.3.0
修复方案
1.建议升级到安全版本,参考官网链接:
https://spark.apache.org/downloads.html
2.安全设备路径添加黑名单或者增加WAF规则(临时方案)。
2022-08-10 17:00:11
4KB
1
CTF附件题,核电站新来的运维小王粗心把一个办公网地址映射到外网,遭到大量攻击,你能从日志当中找到有效信息吗。
2021-11-09 18:00:05
6.41MB
1
shiro反序列化进攻综合利用
项目基于javafx,利用shiro反序列化扩展进行回显命令执行以及注入类别内存马
检出唯一密钥(SimplePrincipalCollection)cbc / gcm
Tomcat / Springboot回显命令执行
集成公用集合K1 / K2
通过POST请求中defineClass字节码实现注入内存马(Servlet实现参考哥斯拉内存马)
resources目录下shiro_keys.txt可扩展键
关于内存马
某些spring环境以jar包启动写shell麻烦
渗透中找目录很烦,经常出现各种写壳浪费时间问题
无落地文件舒服
错误修复
2020.11.08
高低版本base64库不一致,当前使用org.apache.shiro.codec.Base64避免此问题
2020.11.10
修复注入内存马都显示注入成功的错误。
2020.11.23
2021-06-21 14:17:49
807KB
1
对Web安全感兴趣的人员、初级渗透测试人员、高职信息安全大赛参赛人员。
2021-06-10 17:11:18
163B