forname | CN-SEC 中文网

代码审计

Java安全｜和反射相关的一些小补充

前言之前写了一篇Java反射的文章，现在这篇算是一点小小的补充。正文首先先补充一下forName方法，该方法的作用是要求JVM查找并加载指定的类，也就是说JVM「会执行该类的静态代码段」。forNam...

02月15日8 views评论

阅读全文

安全文章

JDK8从任意文件写到远程命令执行

01 前言在对某产品进行挖掘时，发现了一个任意文件写的漏洞口，项目是以jar包的形式来运行的，在这种场景下除了能够覆盖掉服务器上的文件之外，似乎无法做其他操作。尝试过计划任务无果，看到后台有一处重启...

02月13日12 views评论

阅读全文

安全文章

千寻笔记：一次简单的灰盒挖掘记录

最近在学习代码审计，偶然想到了一个我之前见过的开源系统，就顺手分析了一下它的漏洞。各位大佬轻喷啊。影响范围：1.35<=likeadmin<=1.4.2简要描述：后台定时任务处，对于传入的...

11月14日26 views评论

阅读全文

安全文章

探究使用反射进行除Runtime的命令执行方法

扫码领资料获黑客教程免费&进群概述在RASP等安全产品防护严密的现在，普通的寻找Runtime.getRuntime().exec(cmds)的调用已经成为了一件不现实的事情。同样的，在Jav...

10月18日6 views评论

阅读全文

安全文章

实战jboss getshell

开局awvs高危搜索下很快就找到一篇文章 https://medium.com/@r0t1v/pwning-jboss-seam-2-like-a-boss-da5a43da6998 看了下好像是e...

10月11日22 views评论

阅读全文

安全漏洞

万户ezOFFICE协同管理平台 GeneralWeb XXE to RCE

免责声明：由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立...

09月30日73 views评论

阅读全文

代码审计

记录学习Java反射

本篇文章记录学习Java反射。 JAVA反射机制是在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法和属性获取Class类•根据类名：类名....

08月29日16 views评论

阅读全文

安全文章

GeoServer property RCE注入内存马

背景GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作。在GeoServer 2...

07月04日75 views评论

阅读全文

安全文章

我是如何挖到SSTI在某支付系统上进行任意文件读取

大家好，这是我第一次写关于我在寻找漏洞时所做的一项发现的较长文章。初始立足点我正在浏览一个网站，我注意到这是亚洲一家领先的支付系统提供商。所以，我在检查这个网站时发现它在传递参数时存在一个奇怪的问题（...

03月20日16 views评论

阅读全文

安全文章

WebShell-EL表达式-回显Webshell

执念不会像雨一样，说停就停。Obsession doesn't cease like the rain, stopping at a word.PS:本文主要分享一种webshell的利用方式，只是借...

02月02日31 views评论

阅读全文

代码审计

从Java源码来看Native命令执行方法

概述在RASP等安全产品防护严密的现在，普通的寻找Runtime.getRuntime().exec(cmds)的调用已经成为了一件不现实的事情。同样的，在Java中盛行的反序列化漏洞中，如果将RCE...

04月23日33 views评论

阅读全文

代码审计

JAVA反射学习

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...

03月06日16 views评论

阅读全文

Java安全｜和反射相关的一些小补充

JDK8从任意文件写到远程命令执行

千寻笔记：一次简单的灰盒挖掘记录

探究使用反射进行除Runtime的命令执行方法

实战jboss getshell

万户ezOFFICE协同管理平台 GeneralWeb XXE to RCE

记录学习Java反射

GeoServer property RCE注入内存马

我是如何挖到SSTI在某支付系统上进行任意文件读取

WebShell-EL表达式-回显Webshell

从Java源码来看Native命令执行方法

JAVA反射学习

在线咨询

微信