文件名称:serjs:JavaScript中的Java序列化程序
文件大小:10KB
文件格式:ZIP
更新时间:2024-06-06 21:00:32
HTML
JavaScript中的Java序列化程序 JavaScript中本机Java序列化的实现。 还包括两个反序列化有效负载生成器(在上可以看到:JRMPClient和CommonBeanutils1的JNDI变体)以及一个CVE-2018-2800的PoC: 直到2018年4月CPU(6u191、7u181、8u171),Java的RMI端点才允许对请求进行HTTP隧道传输。 如果无法对这些请求实施进一步的限制,则有可能将其作为来自第三方网站的跨源请求来执行。 这样就可以利用原本无法访问的RMI端点。 免责声明 所有信息和代码仅出于教育目的和/或针对这些漏洞测试您自己的系统而提供。 笔记 某些浏览器/浏览器插件可能实施进一步的限制,试图禁止对本地网络的请求。 JMX / RMI PoC向量已经在较早的Java版本中得到了解决。
【文件预览】:
serjs-master
----test.html(16KB)
----.gitignore(556B)
----LICENSE(1KB)
----javaser.js(14KB)
----README.MD(1KB)