#############################免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。...
HW40个高危漏洞利用
来源: YNsec YNsec安全实验室 1、Apache Log4j2 远程代码执行漏洞 Apache Log4j2 是一个开源的 Java 日志框架,被广泛地应用在中间件、开发框架与 Web 应用...
【红队】一款无须借助dnslog的log4j2内网扫描工具
免责声明 本公众号所提供的文字和信息仅供学习和研究使用,请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络,安全性自测,如有...
【红队】Aboutveinmind-tools 容器安全工具集
工具介绍 veinmind-tools 是由长亭科技自研,牧云团队孵化,基于 veinmind-sdk 打造的容器安全工具集 veinmind, 中文名为问脉,寓意 容器安全见筋脉,望闻问切治病害。 ...
【漏洞复现】Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228)
Apache Log4j 2 是Java语言的日志处理套件,使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似于${jndi:ldap...
2023 Verizon 数据泄露报告:74%安全事件存在人为因素
近日,著名咨询机构Verizon发布了《2023年数据泄露调查报告》(DBIR)。该报告对过去一年发生的16312起安全事件进行分析,其数据来源于Verizon平台,以及世界各地的执法、政府机构公开发...
红区威胁情报的好处
利用趋势有助于揭示网络犯罪分子正在积极调查潜在攻击的领域以及他们当前的目标。新的情报使首席信息安全官能够优先考虑风险缓解,并通过扩展的“红区”方法减少主动攻击面。 进入红区 当 FortiGuard ...
Log4j2:里程碑式的顶级供应链漏洞
本文首发跳跳糖社区,链接:https://tttang.com/archive/1378/,社区文中加入了威胁情报及黑产家族利用情况分析。 前言 最近的 Log4j 漏洞在安全圈引起了轩然大波,可以说...
Apache Log4j2 JNDI RCE
在这片海洋中,若无法向上攀游,就只有往下沉沦,是要前进或是溺死,就得看自己的选择。既然这么不甘心,就变的更强!POST /x HTTP/1.1Host: xcmd: whoamiuserna...
Apache Log4j2任意代码执行漏洞复现
学网安渗透扫码加我吧免费&进群 ...
一文读懂面试官都在问的Log4J2漏洞(漏洞实战复现)
目录 漏洞简介漏洞原理 1、原理概述 2、JNDI 3、触发过程漏洞复现漏洞简介漏洞复现 1、访问靶机 2、payload生成 3、进入容器查看 CVE-2021-44228 漏洞简介 Apache ...
工具 | FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用
前言 本工具用于解决 Fastjson、log4j2、原生JNDI注入等场景中针对高版本JDK无法加载远程恶意类,通过LDAP服务器返回原生Java反序列化数据,受害者(客户端)在具备反序列化Gadg...