jndi - 第 4 | CN-SEC 中文网

安全文章

log4j2漏洞

目录漏洞简介Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性，该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可...

11月26日6 views评论

阅读全文

安全工具

JNDIExploit工具冰蝎内存马连接

使用冰蝎客户端去连接JNDIExploit注入的冰蝎马，具体有两种办法，大致记录一下。 0x01 背景初次接触JNDIExploit这个工具，还是在log4j2漏洞爆发的时候，后面看到了一个可以注入...

11月24日25 views评论

阅读全文

安全工具

复现CVE-2021-21351

声明：文章仅供学习和参考，出现一切违法违纪行为，概不负责。0x01 XStream是什么？XStream是JAVA的一个库，用来将对象序列化为XML，或将XML反序列化为对象0x02 影响范围XStr...

11月21日14 views评论

阅读全文

安全漏洞

log4j2远程命令执行回显(cve-2021-44228)

01 前言记录一次无法利用jndi工具反弹log4j2的shell，利用页面回显执行任意命令。02 过程通过vulfocus靶场进行复现log4j2命令执行回显该操作。通过测试发现payload参数可...

11月14日20 views评论

阅读全文

安全开发

JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改

序最近复现学习Fastjson反序列化漏洞利用的时候，用JNDIExploit注入内存马发现连接不上，得魔改冰蝎，再仔细搜索了几篇文档发现新版的冰蝎已经不用魔改也可以连接了，但是目前开源的JNDIE...

11月14日17 views评论

阅读全文

安全文章

JNDI的基础利用总结（下篇）

JNDI核心原理详细分析 01 加载远程codebase中的reference 适用前提：目标出网 jdk<8u191 举例分析此处使用的是ldap协议，因此受影响的版本即8u...

11月14日8 views评论

阅读全文

安全开发

JNDIExploit 改写内存马适配冰蝎3.0以及魔改

11月13日10 views评论

阅读全文

安全开发

JNDI利用分析魔改

前言实战中遇到log4j2漏洞，并且不出网，在内网另一台获得权限的主机上上传JNDIBypassExploit注入工具进行利用，在注入内存马的时候感觉不太方便，于是对该工具的代码进行学...

11月12日11 views评论

阅读全文

安全文章

干货 | JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改

序最近复现学习Fastjson反序列化漏洞利用的时候，用JNDIExploit注入内存马发现连接不上，得魔改冰蝎，再仔细搜索了几篇文档发现新版的冰蝎已经不用魔改也可以连接了，但是目前开源的JNDIEx...

11月11日49 views评论

阅读全文

安全文章

h2dtabase 未授权访问漏洞复现

H2 database是一款Java内存数据库，多用于单元测试。H2 database自带一个Web管理页面，在Spirng开发中，如果我们设置如下选项，即可允许外部用户访问Web管理页面，且没有鉴权...

11月11日21 views评论

阅读全文

安全漏洞

H2 JNDI注入

漏洞点在org.h2.util#getConnection方法下载地址：https://github.com/h2database/h2database/releases/tag/version-1....

11月10日13 views评论

阅读全文

log4j2漏洞

JNDIExploit工具冰蝎内存马连接

最新半自动化springboot打点工具

复现CVE-2021-21351

log4j2远程命令执行回显(cve-2021-44228)

JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改

JNDI的基础利用总结（下篇）

JNDIExploit 改写内存马适配冰蝎3.0以及魔改

JNDI利用分析魔改

干货 | JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改

h2dtabase 未授权访问漏洞复现

H2 JNDI注入

在线咨询

微信