classloader | CN-SEC 中文网

安全文章

Jsp Webshell 免杀-类加载器

前言在经过java类加载器的学习，我们对webshell的免杀处理就可以更进一步。自定义类加载器-命令执行对于如何自定义类加载的详细过程，可参考 Java 类加载器学习。这里就不多阐述了。我们...

06月10日18 views评论

阅读全文

代码审计

代码审计_ClassLoader

验证阶段：确保加载类的正确性、保证吗代码对系统没有危害准备阶段：对于类的静态变量分配内存、并将其初始化为默认值、默认值为0。static final变量默认不会改变解析：把符号引用转换为直接引用，符号...

06月08日17 views评论

阅读全文

代码审计

fastjson1.2.24+BCEL反序列化利用

最近太忙了终于有空继续沉淀fastjson漏洞利用了，Pwn也好久没学了QAQ~前面介绍了fastjson1.2.24无第三方依赖的TemplatesImpl、JdbcRowSetImpl链如果增加了...

06月07日12 views评论

阅读全文

代码审计

java安全学习-Java中动态加载字节码的方法

Java中动态加载字节码的方法1、利用 URLClassLoader 加载远程class文件public static void main(String[] args) { try { ...

05月29日11 views评论

阅读全文

安全文章

cyberstrikelab通关记录-CERT-1

攻击者通过什么漏洞进行渗透的？fscan扫描出漏洞img但是要大写才对攻击者的webshell名称叫什么？img冰蝎马webshell的密码<%@page import="java.util.*...

04月06日16 views评论

阅读全文

安全文章

Java加载动态链接库

0x00 前言前段时间在赛博回忆录群聊中看到师傅们谈论Java加载动态链接库的方法，研究之后，笔者认为该方案某种程度上是可以替代webshell一种方式。文中研究代码会上传到JavaLearnVu...

02月25日9 views评论

阅读全文

安全漏洞

Spring Framework RCE分析（CVE-2022-22965）

3月29日，Spring Framework 存在远程代码执行漏洞，在 JDK 9 及以上版本环境下，远程攻击者可利用该漏洞写入恶意代码导致远程代码执行漏洞。漏洞描述作为目前全球最受欢迎的Java轻...

02月24日22 views评论

阅读全文

安全文章

Spring Core-RCE深入分析及步步调试出payload

既然Spring最新0day漏洞是绕过CVE-2010-1622的修复方式后产生的，那就从这个古老漏洞的本质：参数绑定入手，搭建环境进行调试。1 Spring参数绑定首先了解下什么是Spring...

02月24日18 views评论

阅读全文

Spring Framework RCE漏洞复现

1. 漏洞简介Spring Core Framework是一个用于基于Java的开源企业应用程序的编程和配置模型，提供了IOC、AOP及MVC等功能，解决了程序人员在开发中遇到的常见问题，提高了应用程...

02月22日安全文章20 views评论

阅读全文

安全文章

【New漏洞速递】CVE-2022-22965 Spring核心框架Spring4Shell远程命令执行漏洞原理与修复方式分析

漏洞信息Spring是目前全球最受欢迎的Java轻量级开源框架。近日网上爆出Spring核心框架存在RCE漏洞（编号CVE-2022-22965）。在野曝光一段时间后，与近几年流行的高危漏洞命名方式类...

02月22日17 views评论

阅读全文

代码审计

MeterSphere 未授权RCE-代码审计

0x01 代码分析版本<=1.16.3查看修复日志https://github.com/metersphere/metersphere/pull/9135/commits/9927d2c587...

02月15日16 views评论

阅读全文

安全文章

JDK8从任意文件写到远程命令执行

01 前言在对某产品进行挖掘时，发现了一个任意文件写的漏洞口，项目是以jar包的形式来运行的，在这种场景下除了能够覆盖掉服务器上的文件之外，似乎无法做其他操作。尝试过计划任务无果，看到后台有一处重启...

02月13日17 views评论

阅读全文

Jsp Webshell 免杀-类加载器

代码审计_ClassLoader

fastjson1.2.24+BCEL反序列化利用

java安全学习-Java中动态加载字节码的方法

cyberstrikelab通关记录-CERT-1

Java加载动态链接库

Spring Framework RCE分析（CVE-2022-22965）

Spring Core-RCE深入分析及步步调试出payload

Spring Framework RCE漏洞复现

【New漏洞速递】CVE-2022-22965 Spring核心框架Spring4Shell远程命令执行漏洞原理与修复方式分析

MeterSphere 未授权RCE-代码审计

JDK8从任意文件写到远程命令执行

在线咨询

微信