扫码领资料获网安教程前言本篇文章首发在先知社区 作者Zjacky(本人) 先知社区名称: Zjacky 转载原文链接为https://xz.aliyun.com/t/13793诶呀这玩意学了蛮久了真的...
QAX HW 初筛(第一批)· 单选部分
1. 下面对 cookie 和 session 描述不正确的是?A. cookie 数据存放在客户的浏览器上,session 数据放在服务器上B. session 中能够存取的数据类型比 cookie...
geoserver漏洞解析以及测试方法
相信各位师傅在HVV中,都遇到过geoserver系统,但是一般都是弱口令或者信息泄露、SSRF之类的,拿shell的案例不多,下面分享下geoserver系统后台的两种打法。一、后台JNDI 注⼊测...
Burpsuite多功能漏洞检测插件
项目说明重新写了UI,表格自动更新对各个模块的被动扫描做了去重,重复的数据不再扫描优化json格式的参数解析各个模块进行优化数据库配置文件自动生成目前功能:fastjson扫描权限绕过未授权检测sql...
Burpsuite多功能漏洞检测插件:gatherBurp
项目说明 重新写了UI,表格自动更新对各个模块的被动扫描做了去重,重复的数据不再扫描优化json格式的参数解析各个模块进行优化数据库配置文件自动生成 目前功能: fastjson扫描权限绕过未授权检测...
漏洞分析 | xxl-job前台api未授权Hessian2反序列化
XXL-JOB是一个分布式任务调度平台。Hessian2是一种序列化协议,用于在XXL-JOB前后端之间传输数据。前台API未授权Hessian2反序列化是指,客户端请求XXL-JOB的前台API时,...
Weblogic JNDI命令执行漏洞(CVE-2024-20931)
免责声明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!!漏洞描述在Oracle发布的2...
内网靶场 | 渗透攻击红队内网域渗透靶场-2
“ 这次的靶场相对于上一次的较为简单,靶场是21年的,对于当时来说Log4j2 RCE、CVE-2021-42287&CVE-2021-42278都算是比较新的漏洞,正好也摸索一下这几个经典漏...
Java基础之JNDI
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,禁止私自转载,如需转载,请联系作者!!!!请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果...
Weblogic CVE-2024-20931 JNDI注入RCE
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次...
深入了解JNDI安全
JNDI JNDI(全称Java Naming and Directory Interface)是用于目录服务的Java API,它允许Java客户端通过名称发现和查找数据和资源(以Java对象的形式...
JAVA安全JNDI注入之dnslog数据外带
今天审计的时候遇到了log4j,简单分享一下jndi注入之dnslog数据外带啵简介log4j处理${}是采用递归方式解析,大概意思就是有几个${}表达式,lookup也就解析几个,所以可以配合dns...