jndi - 第 2 | CN-SEC 中文网

安全文章

fastjson 反序列化RCE漏洞复现

大致步骤1，先在攻击机上编写好含有恶意代码的类，编译成class文件。其中有我们要执行的命令，开启web服务2，还需要在攻击机上利用jar包部署rmi服务。3，通过payload请求攻击机上的rmi服...

03月24日17 views评论

阅读全文

安全工具

【工具分享】Chains漏洞生成&利用 Web 平台

1、工具简介 Java-Chains 是一个 Java Payload 生成与漏洞利用 Web 平台，便于广大安全研究员快速生成 Java Payload，以及对 JNDI 注入、MyS...

03月20日46 views评论

阅读全文

安全文章

fastjson jndi 注入Behinder内存马

最近有学员来问 fastjson 能弹计算器注入Behinder内存马有问题环境 jdk8.121 springboot 2.3.12.RELEASE fastjson 1.2.37 使用id...

03月16日11 views评论

阅读全文

安全漏洞

CVE-2023-21839-WebLogic Server远程代码执行

一、概述CVE-2023-21839是weblogic中的远程代码执行漏洞，由于weblogic IIOP/T3协议开启时，允许未经身份验证的攻击者通过IIOP/T3协议网络访问weblogic se...

03月12日37 views评论

阅读全文

代码审计

【JAVA安全】JNDI漏洞分析

背景近年来，JNDI（Java Naming and Directory Interface）相关的安全漏洞频繁成为企业级Java应用的重大威胁。尤其是2021年底爆发的Log4j2漏洞（CVE-20...

03月12日41 views评论

阅读全文

安全工具

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

工具介绍DarKnuclei是一款适合针对红蓝对抗的一款工具，不仅仅可以在红队视角下的快速打点，还可以在蓝队视角下针对红队基础设施与服务进行探针扫描，DarKnuclei在针对红队基础设施进行扫描针对...

03月12日42 views评论

阅读全文

安全文章

不完美的条件竞争JNDI漏洞利用链发现过程

0x00 前言自我发布《探索高版本 JDK 下 JNDI 漏洞的利用方法》这篇文章后就开始找基于org.apache.catalina.users.MemoryUserDatabaseFactor...

02月25日9 views评论

阅读全文

代码审计

JAVA反序列化之C3P0

0x00 C3P0？ C3P0是JDBC的一个连接池组件 JDBC: "JDBC是Java DataBase Connectivity的缩写，它是Java程序访问数据库的标准接口。使用Java程序访...

02月25日15 views评论

阅读全文

代码审计

JAVA 协议安全笔记-JNDI篇

0x01 JNDI介绍 JNDI 全称为 Java Naming and Directory Interface 也即JAVA 名称和目录接口 Naming 名称服务，简单来说就是通过名称查找实际对象...

02月25日16 views评论

阅读全文

安全漏洞

jolokia JNDI远程代码执行漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述Jolokia是一个用于通过HTTP访问JMX MBean的桥梁工具，它提供了简单易用的RESTful接口，使得开发者可以通过HTTP请求...

02月22日39 views评论

阅读全文

代码审计

入坑Java安全之JNDI注入

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言最近在学习SpringMVC，刚好学到了J...

02月20日13 views评论

阅读全文

安全漏洞

CVE-2024-49194 Databricks JDBC 驱动 JNDI 注入漏洞分析

概述Databricks JDBC 驱动程序中存在一个漏洞，影响 v2.6.38 及以下版本。从官方通报的信息来看，漏洞根源与 krbJAASFile 参数有关，攻击者可使用具有 Property 的...

02月17日39 views评论

阅读全文

fastjson 反序列化RCE漏洞复现

【工具分享】Chains漏洞生成&利用 Web 平台

fastjson jndi 注入Behinder内存马

CVE-2023-21839-WebLogic Server远程代码执行

【JAVA安全】JNDI漏洞分析

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

不完美的条件竞争JNDI漏洞利用链发现过程

JAVA反序列化之C3P0

JAVA 协议安全笔记-JNDI篇

jolokia JNDI远程代码执行漏洞

入坑Java安全之JNDI注入

CVE-2024-49194 Databricks JDBC 驱动 JNDI 注入漏洞分析

在线咨询

微信