前话:可以回看前文《java代码审计新-从0到无》,这里就不再诉述。第一:看历史漏洞泛微前台注入/js/hrm/getdata.jsp注入点前台注入https://www.cnblogs.com/0d...
不安全的反序列化-攻击示例(四)
在本节中,将用PHP、Ruby和Java反序列化的例子指导如何利用一些常见的情况,从而证明利用不安全的反序列化实际上比许多人认为的要容易很多。如果能使用预先建立的小工具链,在黑盒测试中甚至可以做到这一...
2022台州市赛线上AWD赛后小记
赛制比赛时间:4个小时,10分钟一轮,共24轮,无加固时间 计分规则:攻陷其他队伍服务器一次加10分,被其他队伍攻陷扣15分,check不通过扣100分,起始分5000分 赛题:一个Java、一个PH...
Java审计之反序列化挖掘
前置知识首页你要了解什么是反序列化,需要用到哪些函数如下图java反射机制在反序列化中,反射必不可少让java具有动态性修改已有对象的属性动态生成对象动态调用方法操作内部类和私有方法在反序列化中定制需...
漏洞复现——CVE-2021-44228
免责声明本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。漏洞概述Apche log4j远程代码执行漏洞,该漏洞就是去年杀疯了的log4j漏洞。apache...
看我如何在云环境中利用Log4j漏洞
及时修复0day漏洞相关的安全漏洞的方法之一是站在攻击者的角度,了解他们正在使用的战术、技术和程序 (TTP) 和目标。就Log4j而言,由于 AWS 在大多数多云环境中普遍存...
不安全的反序列化-攻击示例(一)
在本节中,将用PHP、Ruby和Java反序列化的例子指导如何利用一些常见的情况,从而证明利用不安全的反序列化实际上比许多人认为的要容易很多。如果能使用预先建立的小工具链,在黑盒测试中甚至可以做到这一...
算法篇-ALGO-2 最大最小公倍数(贪心)| HackerDo安全
Part1试题 算法训练 最大最小公倍数锦囊当n为奇数时,答案一定是n * (n-1) * (n-2)。当n为偶数时,答案可能是(n-1) * (n-2) * (n-3),也可能是n * a * b,...
浅谈Log4j2在Springboot的检测
引言 Apache Log4j是一个基于Java的日志记录工具。通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记...
浅谈Agent内存马
Java Agent 在JVM中运行中,类是通过classLoader加载.class文件进行生成的。在类加载.class文件生成对应的类对象之前,我们可以通过修改.class文件内容,达到修改类的目...
CVE-2022-39197分析
一、 swing漏洞大家最近一定被CobaltStrike漏洞刷屏了,我是先写了fastjson1.2.80的漏洞再去看CobaltStrike,但已经被别人分析的...
HyperSQL数据库存在严重漏洞,可导致RCE后果
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员在HyperSQL Database (HSQLDB) 中发现了一个严重漏洞,可带来远程代码执行 (RCE) 风险。HSQLDB...
95