jndi | CN-SEC 中文网

代码审计

JDK 高版本下 JNDI 注入深度剖析

JDK 高版本 JNDI 注入限制rmi 协议限制测试 pocimport javax.naming.Context; import javax.naming.InitialContext; pu...

04月10日7 views评论

阅读全文

安全文章

Fastjson漏洞利用及工具总结|挖洞技巧

0x01 前言Fastjson是阿里巴巴开源的高性能JSON处理库，在Java生态中被广泛使用。其多次曝出的反序列化漏洞（尤其是AutoType特性相关漏洞）曾引发重大安全风险，可以将Java对象转换...

03月31日22 views评论

阅读全文

安全职场

懂这些漏洞轻松收割3个offer

大晚上，球友找我，让我帮他赛选下offer。。。这真的是旱的旱死涝的涝死啊。。。 1、深信服技术服务工程师，base 西安，月薪 14k 据说还有些异地补助 2、奇安信安全服务工程师，base 重庆...

03月26日4 views评论

阅读全文

安全职场

长亭一面结果出来了。。。

先感谢这位球友，昨晚深夜来沟通投稿他在长亭实习一面的面经（所以咱们星球中的面经都是来自咱们真实的面试问题，也有我多年在各个厂商了解到的面试题目）。详细的内容已经更新到咱们星球了。网络安面试题库截止目前...

03月24日16 views评论

阅读全文

安全职场

长亭实习生一面。。。

先感谢这位球友，昨晚深夜来沟通投稿他在长亭实习一面的面经（所以咱们星球中的面经都是来自咱们真实的面试问题，也有我多年在各个厂商了解到的面试题目）。详细的内容已经更新到咱们星球了。网络安面试题库截止...

03月24日4 views评论

阅读全文

安全工具

JNDI注入测试工具 JNDIInjectorGUI

0x01 工具介绍一个用于安全研究的JNDI注入测试工具，参考了marshalsec的代码，集成了RMI、LDAP和HTTP文件服务，提供图形界面进行统一管理。功能特点：多服务集成：同时支持RMI、...

03月24日13 views评论

阅读全文

安全文章

fastjson 反序列化RCE漏洞复现

大致步骤1，先在攻击机上编写好含有恶意代码的类，编译成class文件。其中有我们要执行的命令，开启web服务2，还需要在攻击机上利用jar包部署rmi服务。3，通过payload请求攻击机上的rmi服...

03月24日11 views评论

阅读全文

安全工具

【工具分享】Chains漏洞生成&利用 Web 平台

1、工具简介 Java-Chains 是一个 Java Payload 生成与漏洞利用 Web 平台，便于广大安全研究员快速生成 Java Payload，以及对 JNDI 注入、MyS...

03月20日16 views评论

阅读全文

安全文章

fastjson jndi 注入Behinder内存马

最近有学员来问 fastjson 能弹计算器注入Behinder内存马有问题环境 jdk8.121 springboot 2.3.12.RELEASE fastjson 1.2.37 使用id...

03月16日7 views评论

阅读全文

安全漏洞

CVE-2023-21839-WebLogic Server远程代码执行

一、概述CVE-2023-21839是weblogic中的远程代码执行漏洞，由于weblogic IIOP/T3协议开启时，允许未经身份验证的攻击者通过IIOP/T3协议网络访问weblogic se...

03月12日27 views评论

阅读全文

代码审计

【JAVA安全】JNDI漏洞分析

背景近年来，JNDI（Java Naming and Directory Interface）相关的安全漏洞频繁成为企业级Java应用的重大威胁。尤其是2021年底爆发的Log4j2漏洞（CVE-20...

03月12日29 views评论

阅读全文

安全工具

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

工具介绍DarKnuclei是一款适合针对红蓝对抗的一款工具，不仅仅可以在红队视角下的快速打点，还可以在蓝队视角下针对红队基础设施与服务进行探针扫描，DarKnuclei在针对红队基础设施进行扫描针对...

03月12日33 views评论

阅读全文

JDK 高版本下 JNDI 注入深度剖析

Fastjson漏洞利用及工具总结|挖洞技巧

懂这些漏洞轻松收割3个offer

长亭一面结果出来了。。。

长亭实习生一面。。。

JNDI注入测试工具 JNDIInjectorGUI

fastjson 反序列化RCE漏洞复现

【工具分享】Chains漏洞生成&利用 Web 平台

fastjson jndi 注入Behinder内存马

CVE-2023-21839-WebLogic Server远程代码执行

【JAVA安全】JNDI漏洞分析

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

在线咨询

微信