jndi - 第 19 | CN-SEC 中文网

安全文章

Weblogic T3/IIOP反序列化命令执行漏洞

0x00 简介:WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式...

01月18日324 views评论

阅读全文

安全工具

一款针对SpringBoot的图形化利用工具

项目地址https://github.com/0x727/SpringBootExploit项目作者：0x727使用方法首先在服务器上上传打包好的JNDIExploit工具，解压。使用命令启动java...

01月15日155 views评论

阅读全文

安全文章

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

01—风险概述2021年1月Oracle发布了安全更新补丁，包含Oracle产品系列中的329个新安全补丁。此次公告中特别提到了，2020年11月1日发布的Oracle WebLogic Server...

01月08日160 views评论

阅读全文

安全文章

一次简单的log4j漏洞测试

✎ 阅读须知乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入...

12月17日86 views评论

阅读全文

安全文章

CVE-2021-21351:XStream反序列化远程代码执行漏洞简析

01漏洞概述XStream是Java类库，用来将对象序列化成XML （JSON）或反序列化为对象。在 1.4.16 版本之前的 XStream 中，存在反序列化远程代码执行漏洞，漏洞编号为CVE-20...

12月16日156 views评论

阅读全文

安全文章

log4j笔记

今天水一篇log4j稍微整理一下的笔记参考文章https://mp.weixin.qq.com/s/vAE89A5wKrc-YnvTr0qaNghttps://github.com/HackJava/...

12月08日298 views评论

阅读全文

代码审计

原创 | 从Deserialization和覆盖trustURLCodebase进行JNDI注入

点击蓝字关注我们DeserializationLDAP在通过LDAP协议访问远程服务的时候，我们可以跟进到LdapCtx#c_lookup方法中这里调用了doSearchOnce方法获取LDAP远程返...

12月01日40 views评论

阅读全文

安全文章

漏洞复现——CVE-2021-44228

免责声明本公众号所发布的文章及工具只限交流学习，本公众号不承担任何责任！如有侵权，请告知我们立即删除。漏洞概述Apche log4j远程代码执行漏洞，该漏洞就是去年杀疯了的log4j漏洞。apache...

11月25日132 views评论

阅读全文

安全文章

看我如何在云环境中利用Log4j漏洞

及时修复0day漏洞相关的安全漏洞的方法之一是站在攻击者的角度，了解他们正在使用的战术、技术和程序 (TTP) 和目标。就Log4j而言，由于 AWS 在大多数多云环境中普遍存...

11月24日38 views评论

阅读全文

安全文章

Weblogic Analysis Attacked by JNDI injection From CVE(part 4)

点击蓝字 / 关注我们前言接着前面的分析，这里主要是两个由JtaTransactionManager类的readObject方法调用过程中而造成的JNDI注入，其中第一个(CVE-...

11月23日28 views评论

阅读全文

安全文章

Weblogic Analysis Attacked by JNDI injection From CVE(part 4)

前言接着前面的分析，这里主要是两个由JtaTransactionManager类的readObject方法调用过程中而造成的JNDI注入，其中第一个(CVE-2018-3191)是使用T3进行发送序...

11月22日20 views评论

阅读全文

SecIN安全技术社区

Bugku---Apache Log4j2 RCE

文章源自于个人博客：http://vfree.ltd/ 1.bugku---Apache Log4j2 RCE 1.1 打开题目注意:描述中的命令后面跟的说明不支持这个命令，则代表可以使用 1.2 ...

11月11日251 views已关闭评论

阅读全文