corba | CN-SEC 中文网

安全博客

Weblogic IIOP 反序列化漏洞学习笔记(CVE-2020-2551)

Weblogic IIOP协议默认开启，跟T3协议一起监听在7001端口，这次漏洞主要原因是错误的过滤JtaTransactionManager类，JtaTransactionManager父类Abs...

02月27日34 views评论

代码审计

一、什么是JNDI JNDI(Java Naming and Directory Interface)是一种应用程序编程接口（API），它为使用Java编程语言编写的应用程序提供命名和目录功能。它被定...

09月24日20 views评论

代码审计

点击蓝字，关注我们一、什么是JNDI JNDI(Java Naming and Directory Interface)是一种应用程序编程接口（API），它为使用Java编程语言编写的应用程序提供命...

09月03日37 views评论

群里大佬们打哈哈的内容，菜鸡拿出来整理学习一下，炒点冷饭。主要包含以下三个部分：jndi注入原理jndi注入与反序列化jndi注入与jdk版本jndi注入原理：JNDI（Java Name and D...

01月30日代码审计23 views评论

安全文章

背景Weblogic的7001端口默认支持T3协议和IIOP协议，本文将基于CVE-2020-2551漏洞分析weblogic的IIOP协议与其利用。与IIOP协议相关的一些名词还有CORBA、IDL...

07月17日60 views评论

安全文章

首先Corba DEMO的原文链接，代码后面就不贴了，有兴趣的大佬可以跟着走一遍。这篇文章的分析，其实是为之后的IIOP反序列化打个基础。0x00 指导思想1、启动orbd作为naming servi...

09月13日221 views评论