来自许少(4ra1n)开发的一款Java自动代码审计工具,尤其针对SpringBoot框架,也可自行改造以适配其他情况提供一个SpringBoot的Jar包即可进行自动代码审计并生成报告,底层技术基于...
01月11日159 views评论rce
反序列化
一款功能强大的Java自动代码审计工具
01月11日159 views评论rce
反序列化
01月11日159 views评论rce
反序列化
JDBC MySQL任意文件读取分析
JDBC MySQL任意文件读取分析在渗透测试中,有些发起mysql测试流程(或者说mysql探针)的地方,可能会存在漏洞。在连接测试的时候通过添加allowLoadLocalInfileInPath...
01月08日50 views评论任意文件读取
数据包
JDBC Connection URL Attack
The several means of attacking java web application by manipulating MYSQL JDBC URL had been revealed...
01月01日20 views评论java
url
浅析FastJson不出网利用方式
本文转载至奇安信攻防社区:https://forum.butian.net/share/2040实战中,有些环境是不出网的,就无法利用JNDI攻击,这里介绍下FastJson本地的利用方式。0x01 ...
12月24日33 views评论commit
fastjson
关于HackerOne上Grafana、jolokia、Flink攻击手法的学习
点击蓝字 / 关注我们前言那天凑巧上HackerOne看看,所以jarij的漏洞报告刚一放出来就看到了。但是看完三篇RCE的报告 - Apache Flink RCE via GE...
12月02日79 views评论hackerone
rce
一种JDBC Attack的新方式
背景 抽空在h1上看到了一个和JDBC Attack有关的案例,于是就简单看了下。 https://hackerone.com/reports/1547877 这个案例中提到的Aiven是一家提供Sa...
11月18日40 views评论com
http
从SPI机制到JDBC后门实现
点击蓝字 / 关注我们0x00 SPI机制SPI(Service Provider Interface),是JDK内置的一种服务提供发现机制,可以用来启用框架扩展和替换组件,主要是...
11月11日27 views评论debug
river
PostgresQL JDBC Drive任意代码执行漏洞(CVE-2022-21724)
声明以下内容,来自先知社区的标准云作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。JDBC Java数据库连...
11月11日157 views评论postgresql
spring
JAVA-JDBC反序列化
JAVA-JDBC反序列化前言在午休的时候,闲的无聊,打开了nss,想找道题玩玩,加上一直想在java安全上有什么进步,于是就拿了道java的题目来做,结果还是完全不会做,在结合了大佬的文章后,也终于...
11月10日114 views评论payload
反序列化
PostgresQL JDBC Drive 任意代码执行漏洞 CVE-2022-21724
JDBC Java 数据库连接,(Java Database Connectivity)是 Java 语言中用来规范客户端如何访问数据库的应用程序接口,具体讲就是通过 Java 连接广泛数据库,并对表...
11月09日54 views评论postgresql
spring
3 步在 Linux 上安装 JDBC
导读:安装 Java,使用 Maven 安装 JDBC,并安装数据库。然后,你就可以在 Java 代码中与数据库进行交互了。本文字数:1558,阅读时长大约:2分钟当你编写一个应用时,需要...
10月05日16 views评论jdbc
postgresql
fastjson中JDBC链回显
很久没有更新了,把之前一直想去完成的Todo去做了。0x01 背景fastjson的JDBC(com.mysql.jdbc.JDBC4Connection),之前遇到过一次,但是没有弄出来回显的,仅仅...
09月29日754 views评论com
mysql
5