rmi | CN-SEC 中文网

安全开发

从一道java题学习 JRMP 绕过 JNDI

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

04月22日7 views评论

阅读全文

安全文章

fastjson【1224rce】漏洞初探索及复现

机器说明靶机：docker搭建的fastjson环境，其ip地址为192.168.10.6攻击：网站服务器为windows物理机，ip地址为192.168.10.9RMI服务，也是建立在windows...

04月10日15 views评论

阅读全文

代码审计

JDK 高版本下 JNDI 注入深度剖析

JDK 高版本 JNDI 注入限制rmi 协议限制测试 pocimport javax.naming.Context; import javax.naming.InitialContext; pu...

04月10日12 views评论

阅读全文

安全文章

Web篇 | Fastjson反序列化漏洞深度剖析：成因、挖掘思路与防范攻略（上）

免责声明！本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。大纲Fastjson介绍相关概念及Fastjson反序列化...

04月10日14 views评论

阅读全文

安全文章

Fastjson漏洞利用及工具总结|挖洞技巧

0x01 前言Fastjson是阿里巴巴开源的高性能JSON处理库，在Java生态中被广泛使用。其多次曝出的反序列化漏洞（尤其是AutoType特性相关漏洞）曾引发重大安全风险，可以将Java对象转换...

03月31日23 views评论

阅读全文

安全文章

fastjson【1247rce】漏洞初探索及复现

前言使用docker启动靶机#首先切换到对应的目录下docker-compose up -ddocker-compose ps靶机：kali开启使用docker，IP地址为192.168.10.6攻击...

03月24日8 views评论

阅读全文

安全工具

JNDI注入测试工具 JNDIInjectorGUI

0x01 工具介绍一个用于安全研究的JNDI注入测试工具，参考了marshalsec的代码，集成了RMI、LDAP和HTTP文件服务，提供图形界面进行统一管理。功能特点：多服务集成：同时支持RMI、...

03月24日15 views评论

阅读全文

安全文章

fastjson 反序列化RCE漏洞复现

大致步骤1，先在攻击机上编写好含有恶意代码的类，编译成class文件。其中有我们要执行的命令，开启web服务2，还需要在攻击机上利用jar包部署rmi服务。3，通过payload请求攻击机上的rmi服...

03月24日13 views评论

阅读全文

代码审计

【JAVA安全】JNDI漏洞分析

背景近年来，JNDI（Java Naming and Directory Interface）相关的安全漏洞频繁成为企业级Java应用的重大威胁。尤其是2021年底爆发的Log4j2漏洞（CVE-20...

03月12日34 views评论

阅读全文

安全工具

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

工具介绍DarKnuclei是一款适合针对红蓝对抗的一款工具，不仅仅可以在红队视角下的快速打点，还可以在蓝队视角下针对红队基础设施与服务进行探针扫描，DarKnuclei在针对红队基础设施进行扫描针对...

03月12日36 views评论

阅读全文

安全博客

Weblogic IIOP 反序列化漏洞学习笔记(CVE-2020-2551)

Weblogic IIOP协议默认开启，跟T3协议一起监听在7001端口，这次漏洞主要原因是错误的过滤JtaTransactionManager类，JtaTransactionManager父类Abs...

02月27日34 views评论

阅读全文

代码审计

JAVA 协议安全笔记-RMI篇

0x00 RMI介绍 RMI的全名为Remote Method Invocation即远程方法调用，他的出现是为了解决一个问题，如何在本地透明的调用远程服务器上的方法。废话不多说，我们直接从一个用例来...

02月25日14 views评论

阅读全文

从一道java题学习 JRMP 绕过 JNDI

fastjson【1224rce】漏洞初探索及复现

JDK 高版本下 JNDI 注入深度剖析

Web篇 | Fastjson反序列化漏洞深度剖析：成因、挖掘思路与防范攻略（上）

Fastjson漏洞利用及工具总结|挖洞技巧

fastjson【1247rce】漏洞初探索及复现

JNDI注入测试工具 JNDIInjectorGUI

fastjson 反序列化RCE漏洞复现

【JAVA安全】JNDI漏洞分析

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

Weblogic IIOP 反序列化漏洞学习笔记(CVE-2020-2551)

JAVA 协议安全笔记-RMI篇

在线咨询

微信