jndi - 第 9 | CN-SEC 中文网

安全文章

JNDIExploit反制

0x0前言一款用于 JNDI注入利用的工具，大量参考/引用了 Rogue JNDI 项目的代码，支持直接植入内存shell，并集成了常见的bypass 高版本JDK的方式，适用于与自动化工具配合使...

05月18日20 views评论

阅读全文

安全漏洞

JNDIExploit路径穿越漏洞

文章来源：https://kaikaix.github.io/2023/09/16/JNDIExploit%E8%B7%AF%E5%BE%84%E7%A9%BF%E8%B6%8A%E6%BC%8F%E...

05月18日11 views评论

阅读全文

安全文章

log4j2远程代码执行漏洞

log4j2漏洞原理？CVE-2021-44228，简称：log4j2，利用漏洞可以执行任意命令。该漏洞影响所有 log4j2 受影响的版本，包括 2.x 到 2.15.0。这个漏洞利用了一个缺陷，允...

05月17日29 views评论

阅读全文

安全漏洞

用友NC JNDI远程代码执行漏洞

声明文章仅用作网络安全人员对自己网站、服务器等进行自查检测，不可用于其他用途，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果...

05月13日101 views评论

阅读全文

代码审计

log4j2远程代码执行漏洞原理

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！log4j2漏洞原理？CVE-2021-44228，简称：log4j2，利用漏洞可以执行任意命令。该漏洞影响所有 log4j2 受影响的版本，...

05月13日32 views评论

阅读全文

TRX HW 二面

structs2、weblogic...... 漏洞原理，在 WAF 看到的特征structs2：原理：使用%{…}语法应用强制 OGNL 求值，则标记的某些属性可能会执行双重求值。特征：请求头包含 ...

05月12日安全职场27 views评论

阅读全文

CTF专场

高JDK的JNDI绕过之复现某比赛0解题

扫码领资料获网安教程前言本篇文章首发在先知社区作者Zjacky(本人) 先知社区名称: Zjacky 转载原文链接为https://xz.aliyun.com/t/13793诶呀这玩意学了蛮久了真的...

04月28日12 views评论

阅读全文

QAX HW 初筛（第一批）· 单选部分

1. 下面对 cookie 和 session 描述不正确的是？A. cookie 数据存放在客户的浏览器上，session 数据放在服务器上B. session 中能够存取的数据类型比 cookie...

04月22日安全职场171 views评论

阅读全文

安全文章

geoserver漏洞解析以及测试方法

相信各位师傅在HVV中，都遇到过geoserver系统，但是一般都是弱口令或者信息泄露、SSRF之类的，拿shell的案例不多，下面分享下geoserver系统后台的两种打法。一、后台JNDI 注⼊测...

04月22日118 views评论

阅读全文

安全工具

Burpsuite多功能漏洞检测插件

项目说明重新写了UI，表格自动更新对各个模块的被动扫描做了去重，重复的数据不再扫描优化json格式的参数解析各个模块进行优化数据库配置文件自动生成目前功能：fastjson扫描权限绕过未授权检测sql...

04月18日28 views评论

阅读全文

安全工具

Burpsuite多功能漏洞检测插件：gatherBurp

项目说明重新写了UI，表格自动更新对各个模块的被动扫描做了去重，重复的数据不再扫描优化json格式的参数解析各个模块进行优化数据库配置文件自动生成目前功能： fastjson扫描权限绕过未授权检测...

04月12日41 views评论

阅读全文

安全文章

漏洞分析 | xxl-job前台api未授权Hessian2反序列化

XXL-JOB是一个分布式任务调度平台。Hessian2是一种序列化协议，用于在XXL-JOB前后端之间传输数据。前台API未授权Hessian2反序列化是指，客户端请求XXL-JOB的前台API时，...

04月01日192 views评论

阅读全文

在线咨询

微信