logj | CN-SEC 中文网

中级研判，无偿分享

不喜勿喷，仅供参考注：下面问题我结合chatGPT和个人理解的一些总结的话，不保证精确度，大家用自己的话整理一下 1、给出一个1433端口的字节流形式的告警数据包你会如何分析首先，1433端口是m...

03月19日HW&HVV28 views评论

阅读全文

安全文章

记录一次成功的漏洞挖掘

0x01 前言对某站点的进行测试时，发现一个log4j2高危漏洞，通过这个高危漏洞成功拿到权限。0x02 过程前期信息收集阶段通过目录爆破成功发现一个登录的页面。尝试抓取登录的数据包发现是明文传输并且...

02月15日7 views评论

阅读全文

安全职场

面试经历 - 某数字厂- 安服实习生

“ 躺平才是生命的终点！” 首先呢，我并没有进去哦，我感觉应该不是面试的问题，于是让他们公司的师傅帮我问了一下，原因是hc缩减啥的，乱七八糟的，反正大致意思就是不要实习生，唉这年头，...

02月15日9 views评论

阅读全文

安全文章

【漏洞实战研磨】之细说log4j2

say 最近工作生活学习和研究太多，时间着实有点不够用，而且有些文章现在由于某些因素还不能发还得等等，所以一直是静默状态。 ✅今天新启动一个合集，我为之起名叫【漏洞实战研磨】，这个我之...

02月10日16 views评论

阅读全文

安全文章

Log4j CVE-2017-5645反序列化漏洞

Log4j CVE-2017-5645反序列化漏洞影响范围Apache Log4j 2.x <= 2.8.2漏洞成因Apache Log4j是一个用于Java的日志记录库，其支持启动远程日志服务...

01月22日17 views评论

阅读全文

HW&HVV

HVV 准备阶段-高危漏洞隐患排查整改加固专项

高危漏洞隐患排查整改加固专项命令执行类Apache Log4j 2 远程代码执行漏洞漏洞描述Apache Log4j 2 是一个基于Java的日志记录组件。该组件是 Log4j 的升级版本，它重写了...

01月13日21 views评论

阅读全文

安全漏洞

Nginx <= 1.21.5、Apache Log4j2 < 2.18.0漏洞情报

1.Nginx <= 1.21.5 命令执行根据Github上一名作者：fakeNFkY发布的以下文档内容强烈建议禁用该ldapDaemon.enabled属性。如果您打算设置它，请务必ldap...

01月06日81 views评论

阅读全文

安全文章

Log4j Rce(CVE-2021-44228)漏洞分析

前言 Hvv终于要结束了，作为小外包，领钱的日子也即将到来，怀揣着澎湃的心情夜不能寐，想起面试中的点点滴滴，猛一回首，想到了Log4j 去年爆出的这个漏洞，为此，还在某Src上大刷了一波分，虽然...

01月06日6 views评论

阅读全文

代码审计

导致Log4j Rce的JNDI注入

前言记前奏，复现分析了史诗级漏洞Log4j Rce漏洞，并且搞明白了调用链，发现后面是利用的JNDI注入漏洞，问了其他师傅，其他好多漏洞都是因为这个漏洞。为了总结完美一点，一定要补上本文，熟悉...

01月03日18 views评论

阅读全文

安全文章

Apache Log4J2远程代码执行复现

本文来自“白帽子社区知识星球”作者：Mo白帽子社区知识星球加入星球，共同进步01Apache Log4j2Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框...

12月28日2 views评论

阅读全文

代码审计

Java反序列化漏洞 | log4j2远程代码执行漏洞原理+漏洞复现

0x1 前言在看我写的log4j2远程代码执行漏洞之前，师傅们可以看看我前面写的《JNDI注入原理及利用IDEA漏洞复现》这篇文章，因为log4j2远程代码执行漏洞里面有讲JNDI注入，...

12月24日14 views评论

阅读全文

安全文章

如何从容的应对Log4j漏洞（RASP Demo）

1 Log4j漏洞余波未平此次Apache Log4j2远程代码执行漏洞影响面广，利用门槛低，危害还极大，堪称“史诗级”的漏洞。Java的应用极其广泛且生态庞大，而Log4j作为日志处理的基础组件被几...

12月17日3 views评论

阅读全文