Godzilla icon indicating copy to clipboard operation
Godzilla copied to clipboard

Published 20 hours ago verified publisher icon BeichenDream

哥斯拉 Swing SSRF/RCE 临时修复插件

Open BeichenDream opened this issue 3 years ago • 11 comments

哥斯拉5.0将于9月底/11月正式发布

在8月初,我在swing发现了任何Swing组件都可以进行html渲染,这可能通过html标签访问网络资源(SSRF)获取使用者的hash或者利用SMB中继导致RCE,通过更深度挖掘最终实现了无需SMB/NTLM 中继即可获取RCE(推荐使用最新版JDK17 JDK高版本由于删除了某些东西不会导致RCE的发生)。

在哥斯拉5.0发布之前,我想先通过一个简短的插件修复此漏洞,通过下述操作添加插件之后,重启哥斯拉即可生效

GodzillaSwingSSRFBugFixPlugin.zip

image

image image image

BeichenDream avatar Sep 23 '22 06:09 BeichenDream

希望更新可以顺带修复一下高分屏的显示问题。测试机器拯救者,ui显示正常,就是点击添加以及生成的时候,所有的框框显示有问题

ohyessir avatar Oct 01 '22 06:10 ohyessir

期待!

PP9995 avatar Oct 14 '22 21:10 PP9995

失约了!都12月初了,哥斯拉5.0还没发啊。

B1anda0 avatar Dec 04 '22 06:12 B1anda0

失约了!都12月初了,哥斯拉5.0还没发啊。

等一下,还有一个图形的功能没写完

BeichenDream avatar Dec 04 '22 08:12 BeichenDream

2023年3月10号打卡,坐等5.0发布

17862687987 avatar Mar 10 '23 03:03 17862687987

催更

lovelyjuice avatar May 11 '23 08:05 lovelyjuice

更个mimikatz x86就更好了

Conan924 avatar May 17 '23 05:05 Conan924

20230816打卡,哥斯拉5.0将于9月底/11月正式发布,快一年了

d-7uble avatar Aug 16 '23 12:08 d-7uble

升级到JDK17版本对老版本冰蝎的RCE也有效吗?

lovelyjuice avatar Aug 25 '23 01:08 lovelyjuice

鸽了好久了呀,beichen师傅

D4ch1au avatar Aug 28 '23 11:08 D4ch1au

2024年3月20日打卡,距离哥斯拉5.0将于9月底/11月正式发布,快负半年了

evasilence avatar Mar 20 '24 01:03 evasilence