免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雾晓安全及文章作者不为此承担任何责任。0x01 BurpSuite...
浅析Ofbiz反序列化漏洞(CVE-2021-26295)
0x00 前言之前分析过Ofbiz的CVE-2020-9496了,现在继续看看另一个洞即CVE-2021-26295。0x01 SOAP简介SOAP(Simple Object Access Prot...
ysoserial系列之工具浅析
0x00 前言ysoserial系列文章第一篇,主要讲讲工具的用法和基本架构。0x01 ysoserial简介项目地址:https://github.com/frohoff/ysoserialysos...
从Fastjson和Log4j2学习JNDI注入
文章首发于:火线Zone社区(https://zone.huoxian.cn/)JNDI介绍Java命名和目录接口是Java编程语言中接口的名称( JNDI )。它是一个API(应用程序接口),与服务...
热门Fastjson 中出现高危RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞(CVE-2022-25845),它可被用于执行远程代码。该漏...
Apache Shiro回显poc改造计划
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
白嫖某代码卫士Java和Php代码审计指南
网安引领时代,弥天点亮未来 0x00故事是这样的1.Fortify确实是一个比较牛逼的源码缺陷扫描工具,但是很多部门或者公司比较穷,预算有限,用的是破解版...
【技术分享】FRIDA脚本系列(一)入门篇:在安卓8.1上dump蓝牙接口和实例
一、FRIDA是啥?为啥这么火?frida目前非常火爆,该框架从Java层hook到Native层hook无所不能,虽然持久化还是要依靠Xposed和hookzz等开发框架,但是frida的动态和灵活...
Tomcat 文件上传
Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的...
『工具使用』JDB-Java调试器
点击蓝字 关注我们日期: 2022-06-13作者: Mr-hello介绍: JDB是基于文本和命令行的Java调试工具。0x00 前言前段时间在群里看到了一份 WP 里面关于一道 CTF 题目在解题...
2020网鼎杯朱雀组部分Web题wp
记录下网鼎杯第三场朱雀组的wp,主要是web。 Misc 签到 日常做游戏得到flag 九宫格 打开压缩包 ,得到了好多的二维码 利用工具批量解码: 发现结果都是0或者1 010101010011...
JAVA代码审计视频版~
面向人群:本课程面向想入门JAVA代码审计的。针对有JAVA语法基础,想学习JAVA代码审计方面的。我们的优势:因为考虑到很多都是学生党,或者已经刚刚实习工作的人。所以价格实惠。帮助大家JAVA代码审...
95