jetty | CN-SEC 中文网

安全文章

漏洞分析 | Apache Skywalking的log4shell分析

朋友们，现在只对常读和星标的公众号才展示大图推送，建议大家把杂七杂八聊安全“设为星标”，否则可能就看不到了啦~0x01 触发点位置graphql.GraphQL#parseAndValidate调用堆...

04月15日7 views评论

阅读全文

安全工具

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

工具介绍DarKnuclei是一款适合针对红蓝对抗的一款工具，不仅仅可以在红队视角下的快速打点，还可以在蓝队视角下针对红队基础设施与服务进行探针扫描，DarKnuclei在针对红队基础设施进行扫描针对...

03月12日39 views评论

阅读全文

CTF专场

CTFSHOW渗透赛(复盘+思路延伸)

本篇内容为CTFShow渗透赛复盘，官方wp已放出，参加的师傅很多也很强劲但也整整持续了六天才拉下尾幕(虽然有小部分因为环境原因)，但是大菜鸡师傅出的题目质量还是杠杠的收获颇丰，学习了WP后也是专门放...

01月17日49 views评论

阅读全文

安全工具

JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具

下载 https://github.com/qi4L/JYso 使用说明所有使用示例，用的是Yakit的FUZZ语法 🦄内存马两种添加方式：支持引用远程类加载方式打入（Basic路由）。支持本...

11月08日67 views评论

阅读全文

安全文章

Metabase 高版本JDK下嵌入式Jetty中的Customizer内存马实现

获黑客教程免费&进群前言之前在Metabase 漏洞中实现了任意js脚本的执行,但是这并不优雅每次都要发送完整的请求包.而且Metabase 的部署方法比较特殊它打包成了一个独立jar来运...

10月07日6 views评论

阅读全文

安全文章

一键注入Suo5内存马 | Godzilla

0x01 工具介绍关注Tomcat FilterTomcat ServletWebLogic FilterJetty FilterResin FilterJBoss/WildFly Filter0x0...

10月07日18 views评论

阅读全文

安全文章

Jetty xml trick

前言在8月份的时候在蓝鸟上看见有研究员分享一个关于jetty中间件下的上传xml来rce的trick，当存在一个上传漏洞且可以上传一个xml文件到webapss下面的时候，我们可以使用以下XM...

07月29日19 views已关闭评论

阅读全文

Jetty Xml内存马(Java11)

网上目前文章都是使用BCELClassLoader，java8某个小版本后就使用不了了，可以替换为ScriptEngineManager配合jMG生成Base64进行内存马注入。 <?xml v...

07月29日安全文章27 views评论

阅读全文

安全漏洞

CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析

漏洞概述2024年5月，Nexus Repository官方Sonatype发布了新补丁，修复了一处路径穿越漏洞CVE-2024-4956。经分析，该漏洞可以通过特定的路径请求来未授权访问系统文件，进...

06月11日91 views评论

阅读全文

安全新闻

【已复现】Sonatype Nexus Repository 3 存在路径遍历漏洞（CVE-2024-4956）

漏洞概述漏洞名称Sonatype Nexus Repository 3 存在路径遍历漏洞（CVE-2024-4956）安恒CERT评级2级CVSS3.1评分7.5CVE编号CVE-2024-4956C...

05月23日90 views评论

阅读全文

安全新闻

【漏洞预警】Sonatype Nexus Repository 3<3.68.1 任意文件下载漏洞CVE-2024-4956

漏洞描述:Sonatype Nexus Repository 3是开源的制品库,用于存储和管理软件构建制品,受影响版本中存在路径遍历漏洞,未经身份验证的攻击者可通过构造恶意的URL 下载目标系统上的任...

05月20日58 views评论

阅读全文

安全工具

一款java内存马生成工具/资源分享

立志欲坚不欲锐,成功在久不在速。一、工具简介jMG (Java Memshell Generator) 是一款支持高度自定义的 Java 内存马生成工具，提供常见中间件的内存马注入支持。支持的中间件和...

05月19日14 views评论

阅读全文

漏洞分析 | Apache Skywalking的log4shell分析

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

CTFSHOW渗透赛(复盘+思路延伸)

JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具

Metabase 高版本JDK下嵌入式Jetty中的Customizer内存马实现

一键注入Suo5内存马 | Godzilla

Jetty xml trick

Jetty Xml内存马(Java11)

CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析

【已复现】Sonatype Nexus Repository 3 存在路径遍历漏洞（CVE-2024-4956）

【漏洞预警】Sonatype Nexus Repository 3<3.68.1 任意文件下载漏洞CVE-2024-4956

一款java内存马生成工具/资源分享

在线咨询

微信