之前文章结论有问题,修正后形成本文。原文如下问题背景之前线上的漏洞扫描器遇到一个问题:扫描刚开始时,内存占用不超过200M,但在扫描过程中,扫描器会占用超过10G以上内存。因为同一台机器上还有其他的服...
01月16日14 viewsjava
shiro
内存评论
扫描器性能分析案例(修正版)
01月16日14 viewsjava
shiro
内存评论
01月16日14 viewsjava
shiro
内存评论
干货|Java内存马注入工具
作者:WisteriaTige,转载于github,如侵权请联系删除。一个可以复活的Java内存马用法1.先根据环境修改配置文件配置文件位置在: agent_starter.jar内部config目录...
01月16日安全工具11 viewsjava
url
密码评论
关于我学渗透的那档子事之Java反序列化-CB链
前言java反序列化cb链大家应该都玩过,我当初是通过看shiro无依赖了解到的,最近在重学基础,就手把手一点一点调试一遍。记得11月份自我反思之后,认为自己渗透的学习深度广度都太差,对漏洞的学习只是...
01月14日17 viewsjava
序列化
我学评论
CVE-2021-2109 Weblogic RCE
△△△点击上方“蓝字”关注我们了解更多精彩0x00 漏洞简介Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。...
01月14日15 viewscve
java
weblogic评论
Java代码审计:远程代码执行
1 RCE漏洞RCE (Remote Code Execution), 远程代码执行漏洞,这里包含两种类型漏洞:命令注入(Command Injection),在某种开发需求中,需要引入对系统本地命令...
01月13日18 viewsjava
JAVA代码审计
远程代码执行评论
Openfire Admin Console SSRFa任意文件读取漏洞 poc
Openfire(以前称为Wildfire和Jive Messenger)是一个即時通訊(IM)和群聊服务器,它使用Java编写的XMPP服务器,并以Apache License 2.0发布。SSRF...
01月12日16 viewsget
java
poc评论
BurpSuite注册机
声明:此工具仅供学习和交流使用,禁止用于商业用途。商业使用请购买正版软件!链接:https://portswigger.net/burp注册机GitHub链接:https://github.com/h...
01月11日26 viewscom
https
java评论
Java安全反射利用-1
Java反射简介 在Java中反射机制是指在运行状态中,对任意一个类都能够动态的知道这个类所有的属性和方法,并且能够调用任意一个对象里面的任意一个方法;这种动态获取信息以及动态调用对象方法的...
01月11日17 viewsclass
java
string评论
Java代码审计系列第一课 反射机制
简述这次结尾有彩蛋哦,请记得查看!自08年Web2.0时代开始之后,国内Web开发的主要语言从PHP逐渐转移到了Java,截止到今天,以Java为主要开发语言的公司越来越多,是现在大中型公司开发的主流...
01月10日13 viewsjava
string
序列化评论
Java反序列化漏洞学习 Commons Collection
0x00 背景 笔者是一个刚入门Java安全的萌新,一个月前跟着P神的Java安全漫谈开始学习Java反序列化漏洞。笔者学习的方法是看完文章然后拷贝代码下来idea跟着调一遍,每次调完后会感觉自己已经...
01月10日18 viewsjava
序列化
萌新评论
ctf中的java题目
0x00 Code-Breaking Puzzles — javacon 知识点:java反射+SpEL注入 文章: http://rui0.cn/archives/1015 Spring 表达式语言...
01月10日18 viewsjava
spel
spring评论
某大型CMS后台注入从分析到利用
本文首发于奇安信攻防社区社区有奖征稿· 基础稿费、额外激励、推荐作者、连载均有奖励,年度投稿top3还有神秘大奖!· 将稿件提交至奇安信攻防社区(点击底部 阅读原文 ,加入社区)点...
01月09日19 viewscms
com
java评论