Archive4月 2020

Chrome商店因疫情影响延迟审核插件,请在博客上更新插件v1.6版本

Chrome store delayed review plugin due to outbreak impact, please update plugin v1.6 version on blog.

ps:最近插件插件一直更新不到商店里,谷歌总是发邮件告诉我 ghs ??,我裂开了。不知道大家有没有什么办法,知道的小伙伴可以给我留言。

1.如果是Chrome (谷歌)浏览器,下载zip后解压加载

本地加载插件的方法:

url地址栏打开    chrome://extensions/

2.chrome内核的浏览器(例如360,360极速这类浏览器)下载下面crx的版本拖入浏览器即可

1.6版本对UI进行了优化,可以用插件直接下载并获取视频名称并复制视频链接,修复了一些bug,如图。

补充一下:

插件提取出链接,但是无法下载视频的,梯子请开全局代理,还是不行的话可能是ssr节点的问题。

CVE-2017-12615 Apache Tomcat PUT文件上传漏洞复现

漏洞简述

Apache Tomcat是美国阿帕奇(Apache)软件基金会下属的Jakarta项目的一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。
Apache Tomcat 7.0.0到7.0.79版本中存在远程代码执行漏洞,将 readonly 参数设置为 false 时,且启用了 HTTP PUT 请求方法时,攻击者可通过精心构造的攻击请求向服务器上传包含任意代码的JSP文件。

阅读更多

tomcat 后台上传war包getshell

漏洞简述

Tomcat支持在后台部署war文件,可以直接将webshell部署到web目录下。其中,欲访问后台,需要对应用户有相应权限。正常安装的情况下,tomcat8中默认没有任何用户,且manager页面只允许本地IP访问。只有管理员手工修改了这些属性的情况下,才可以进行攻击。由于需要特殊的配置才能利用,可以作为技巧积累。

阅读更多