ShiroShiro 550漏洞原理Shiro550漏洞原理是Shiro框架提供了一种记住密码(Rememberme)的功能,用户登录成功后会生成经过加密的Cookie值,对Remembe的Cooki...
Fastjson反序列化RCE漏洞
0x00 漏洞描述Fastjson 是一个 Java 库,它可以解析 JSON 格式的字符串,支持将 JavaBean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBea...
NSFOCUS旧友记金超前《狂风暴雨幸同船》
作者: 金超前创建: 2022-02-18 21:53《狂风暴雨幸同船》感谢四哥的约稿,一直在追更四哥的旧友记,感叹NS初代江湖有这么多有情有义之事,也有幸与NS共同航行了3年有余,这是我的第一份工作...
JAVA RMI常见攻击方式与总结
RMI简介Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序...
详解JNDI注入攻击原理和利用方式
JNDI简介JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过...
蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐
Part1 前言 今天查阅了一下Java反序列化漏洞利用中常用的工具ysoserial,发现网上一些文章也对其反制方法进行了研究,今天写文章把复现过程和payload分享给大家。以往蓝队溯源反制文章...
第126篇:蓝队溯源3之使用ysoserial反序列化利用工具搭建蜜罐
Part1 前言 大家好,我是ABC_123。最近我一直在更新蓝队分析取证工具箱中的溯源反制功能,为此阅读了大量相关的技术文章。今天查阅了一下Java反序列化漏洞利用中常用的工具ysoserial...
浅谈JDNI注入
JDNI简介:JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口。JND...
从一道java题学习 JRMP 绕过 JNDI
免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢...
fastjson【1224rce】漏洞初探索及复现
机器说明靶机:docker搭建的fastjson环境,其ip地址为192.168.10.6攻击:网站服务器为windows物理机,ip地址为192.168.10.9RMI服务,也是建立在windows...
JDK 高版本下 JNDI 注入深度剖析
JDK 高版本 JNDI 注入限制rmi 协议限制测试 pocimport javax.naming.Context; import javax.naming.InitialContext; pu...
Web篇 | Fastjson反序列化漏洞深度剖析:成因、挖掘思路与防范攻略(上)
免责声明!本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。大 纲Fastjson介绍相关概念及Fastjson反序列化...