声明:本公众号所发布的文章及工具只限交流学习,如有侵权,请告知我们立即删除,文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作...
红队攻防研究-Fastjson低版本BCEL不出网利用以及写入冰蝎内存马
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
【优质软文】浅析Fastjson场景下Java Bcel字节码实践应用
网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! package MemoryShell.BCEL; import com.sun....
【风险提示】天融信关于Oracle 2023年10月安全更新的风险提示
0x00 背景介绍2023年10月18日,天融信阿尔法实验室监测到Oracle官方发布了第4季度(10月)安全更新。本次更新共修复Oracle代码和第三方组件中的多个漏洞,关键漏洞11个,涉及Orac...
记一次H2 JDBC的实战利用
0x00 前言本文记录一次攻防中针对 h2 database 的实战利用。0x01 简介主要内容:基于 BCEL 构造 H2 的不出网利用WAF 绕过判断中间件的坑点0x02 失败的 H2 不出网利用...
【干货分享】FastJson三条调用链分析
戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等本文约2910字...
bcel环境下打入springboot内存马
1.环境说明在某个不出网环境中,spring boot jar包启的环境,存在fastjson漏洞,可通过bcel类来执行命令并回显。但是由于为不出网环境需要开正向代理出来,所以需要打入内存马。因为目...
Apache Commons BCEL越界写入漏洞风险提示(CVE-2022-42920)
漏洞公告近日,安恒信息CERT监测到Apache Commons BCEL越界写入漏洞(CVE-2022-42920),CVSS评分9.8。该漏洞是由于在6.6.0之前版本的Apache Common...
CVE-2022-42920 BCEL 任意文件写漏洞
前言Apache Commons BCEL旨在为用户提供一种方便的方法来分析、创建和操作(二进制)Java 类文件(以 .class 结尾的文件)。类由包含给定类的所有符号信息的对象表示:特别是方法、...
【漏洞通告】Apache Commons BCEL越界写入漏洞
0x01 漏洞信息漏洞名称:Apache Commons BCEL越界写入漏洞漏洞编号:CVE-2022-42920漏洞等级:高披漏时间:2022年11月5日0x02 漏洞描述Ap...
【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920
漏洞名称:Apache Commons BCEL越界写入漏洞组件名称:Apache Commons BCEL影响范围:Apache Commons BCEL < 6.6.0漏洞类型:越界写入...
BCEL ClassLoader去哪了?
com.sun.org.apache.bcel.internal.util.ClassLoader是常常在构造漏洞利用POC时用到的类。但是,我前几天在写《Java安全漫谈》的时候,偶然发现我环境中的...