0x01、前言这是几天前的一次的一个教育厅hw,我朋友叫我帮忙看一下。一般实战我都是直接打,遇到问题就丢了。然后这次的问题则是jndi请求vps的class恶意文件,发现会提示jndi无法连接。这时候...
【漏洞实战研磨】之细说log4j2
say 最近工作生活学习和研究太多,时间着实有点不够用,而且有些文章现在由于某些因素还不能发还得等等,所以一直是静默状态。 ✅今天新启动一个合集,我为之起名叫【漏洞实战研磨】,这个我之...
WebLogic JNDI 注入
0x01 前言学习一下 WebLogic JNDI 注入 RCE(CVE-2021-2109)0x02 环境搭建和之前 WebLogic 的环境搭建是一致的,本文不再赘述。不过值得一提的是,我的 we...
JNDI与RMI、LDAP相关的安全问题探讨
1Concepts of JNDIJNDI 全名 Java Naming and Directory Interface,实际上简单来说就是一个接口,应用通过该接口来访问对应的目录服务。好吧,先了解一...
Jeecg存在JNDI代码执行漏洞 POC
Jeecg存在JNDI代码执行漏洞 Jeecg (J2EE C ode G eneration)是一款基于代码生成器的低代码开发平台, 使用 JEECG 可以简单快速地开发出企业级的 Web 应用系统...
简易的Java漏洞利用工具-ysoSimple
ysoSimple ysoSimple:简易的Java漏洞利用工具,集成Java反序列化,Hessian反序列化,XStream反序列化,SnakeYaml反序列化,Shiro550,JSF反序列化,...
Log4j Rce(CVE-2021-44228)漏洞分析
前言 Hvv终于要结束了,作为小外包,领钱的日子也即将到来,怀揣着澎湃的心情夜不能寐,想起面试中的点点滴滴,猛一回首,想到了Log4j 去年爆出的这个漏洞,为此,还在某Src上大刷了一波分,虽然...
导致Log4j Rce的JNDI注入
前言 记前奏,复现分析了史诗级漏洞Log4j Rce漏洞,并且搞明白了调用链,发现后面是利用的JNDI注入漏洞,问了其他师傅,其他好多漏洞都是因为这个漏洞。为了总结完美一点,一定要补上本文,熟悉...
【工具推荐】推荐两个java安全相关的项目
一、内存马项目https://github.com/ReaJason/MemShellParty类似JMG的内存马生成项目,目前作者仍在积极更新中。非常看好后续更新!!适配情况(期待后续更新) ...
工具集:SpringBootVul-GUI【内置目前springboot所有漏洞】
工具介绍一个半自动化springboot打点工具,内置目前springboot所有漏洞配置不正当导致的泄露脱敏密码明文(1)增加漏洞利用选择模块,可以选择单一或多个漏洞进行检测命令执行漏洞式支持交互式...
JAVA JNDI注入基础与高版本限制绕过
目录 前言基础知识RMI与LDAPJNDI原理及使用例子JNDI注入JNDI注入在不同版本下的限制通过RMI与LDAP进行JNDI注入(jdk<8u191)复现例子调用链分析通过构造恶意反序列化...
Java反序列化漏洞 | log4j2远程代码执行漏洞原理+漏洞复现
0x1 前言在看我写的log4j2远程代码执行漏洞之前,师傅们可以看看我前面写的《JNDI注入原理及利用IDEA漏洞复现》这篇文章,因为log4j2远程代码执行漏洞里面有讲JNDI注入,...
25