前言 实战中遇到log4j2漏洞,并且不出网,在内网另一台获得权限的主机上上传JNDIBypassExploit注入工具进行利用,在注入内存马的时候感觉不太方便,于是对该工具的代码进行学...
11月12日12 views评论jndi
ldap
JNDI利用分析魔改
11月12日12 views评论jndi
ldap
11月12日12 views评论jndi
ldap
干货 | JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改
序最近复现学习Fastjson反序列化漏洞利用的时候,用JNDIExploit注入内存马发现连接不上,得魔改冰蝎,再仔细搜索了几篇文档发现新版的冰蝎已经不用魔改也可以连接了,但是目前开源的JNDIEx...
11月11日52 views评论rce
servlet
h2dtabase 未授权访问漏洞复现
H2 database是一款Java内存数据库,多用于单元测试。H2 database自带一个Web管理页面,在Spirng开发中,如果我们设置如下选项,即可允许外部用户访问Web管理页面,且没有鉴权...
11月11日30 views评论exploit
漏洞复现
H2 JNDI注入
漏洞点在org.h2.util#getConnection方法下载地址:https://github.com/h2database/h2database/releases/tag/version-1....
11月10日16 views评论jndi
river
jolokia Realm JNDI RCE 漏洞检测并获取明文密码
0x01 工具介绍 jolokia Realm JNDI RCE 漏洞检测,并获取明文密码。 0x02 安装与使用 1、漏洞复现 java -jar JNDI-Injection-Exploit-1....
11月10日28 views评论jndi
rce
JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具
下载 https://github.com/qi4L/JYso 使用说明 所有使用示例,用的是Yakit的FUZZ语法 🦄内存马 两种添加方式: 支持引用远程类加载方式打入(Basic路由)。 支持本...
11月08日67 views评论bypass
filter
JNDI注入 漏洞工具使用和对比
说到JNDI注入漏洞工具,最常用的应该就是这两个了吧Marshalsec工具JNDI-Injection-Exploit 工具Marshalsec工具获取与编译介绍Marshalsec是一个用于Jav...
11月04日21 views评论exploit
jndi
Unifi Log4jshell漏洞利用
介绍到现在为止,您可能已经很清楚最近披露的 Java 日志库 Log4j 的一个漏洞。该漏洞影响广泛,影响开源项目和企业软件。Ubiquiti 在漏洞发布后不久宣布,他们的一些产品受到影响。Sproc...
10月30日25 viewsUnifi Log4jshell漏洞利用已关闭评论sec
漏洞利用
CVE-2023-21839 Weblogic反序列化漏洞复现
一.WebLogic简介WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大...
10月29日161 views评论反序列化
漏洞复现
工具 | jndi_tool
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介jndi_tool是一款JNDI服务利用工具。0x01 功能说明RM...
10月25日51 views评论rce
安全研究
九维团队-绿队(改进)| JNDI用法示例及安全开发建议(上)
前言因文章整体较长,将会拆分为上下两篇在本公众号发出,欢迎大家关注公众号,精彩内容不错过~JNDI,全称为Java Naming and Directory Interface,是Java提供的一套用...
10月20日66 views评论jndi
安全开发
Java Payload 生成框架的设计与实现
一、前言 我们在实战渗透过程中,尤其是国内,遇到很多Java语言编写的站点居多,同时这里会存在很多Java漏洞场景。 例如在Shiro 550中,以Java反序列化点为漏洞入口起点,使用 ...
10月05日42 views评论payload
反序列化
25