rmi | CN-SEC 中文网

安全文章

Fastjson漏洞利用及工具总结|挖洞技巧

0x01 前言Fastjson是阿里巴巴开源的高性能JSON处理库，在Java生态中被广泛使用。其多次曝出的反序列化漏洞（尤其是AutoType特性相关漏洞）曾引发重大安全风险，可以将Java对象转换...

03月31日20 views评论

阅读全文

安全文章

fastjson【1247rce】漏洞初探索及复现

前言使用docker启动靶机#首先切换到对应的目录下docker-compose up -ddocker-compose ps靶机：kali开启使用docker，IP地址为192.168.10.6攻击...

03月24日8 views评论

阅读全文

安全工具

JNDI注入测试工具 JNDIInjectorGUI

0x01 工具介绍一个用于安全研究的JNDI注入测试工具，参考了marshalsec的代码，集成了RMI、LDAP和HTTP文件服务，提供图形界面进行统一管理。功能特点：多服务集成：同时支持RMI、...

03月24日13 views评论

阅读全文

安全文章

fastjson 反序列化RCE漏洞复现

大致步骤1，先在攻击机上编写好含有恶意代码的类，编译成class文件。其中有我们要执行的命令，开启web服务2，还需要在攻击机上利用jar包部署rmi服务。3，通过payload请求攻击机上的rmi服...

03月24日11 views评论

阅读全文

代码审计

【JAVA安全】JNDI漏洞分析

背景近年来，JNDI（Java Naming and Directory Interface）相关的安全漏洞频繁成为企业级Java应用的重大威胁。尤其是2021年底爆发的Log4j2漏洞（CVE-20...

03月12日24 views评论

阅读全文

安全工具

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

工具介绍DarKnuclei是一款适合针对红蓝对抗的一款工具，不仅仅可以在红队视角下的快速打点，还可以在蓝队视角下针对红队基础设施与服务进行探针扫描，DarKnuclei在针对红队基础设施进行扫描针对...

03月12日33 views评论

阅读全文

安全博客

Weblogic IIOP 反序列化漏洞学习笔记(CVE-2020-2551)

Weblogic IIOP协议默认开启，跟T3协议一起监听在7001端口，这次漏洞主要原因是错误的过滤JtaTransactionManager类，JtaTransactionManager父类Abs...

02月27日28 views评论

阅读全文

代码审计

JAVA 协议安全笔记-RMI篇

0x00 RMI介绍 RMI的全名为Remote Method Invocation即远程方法调用，他的出现是为了解决一个问题，如何在本地透明的调用远程服务器上的方法。废话不多说，我们直接从一个用例来...

02月25日7 views评论

阅读全文

代码审计

入坑Java安全之JNDI注入

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言最近在学习SpringMVC，刚好学到了J...

02月20日8 views评论

阅读全文

安全文章

浅谈JAVA RMI攻击

本文笔者带大家学习RMI与攻击，在此之前，先学习一下RMI是什么？从网上找了一个通俗易懂的话RMI（Remote Method Invocation），远程方法调用。跟RPC差不多，是java独立实现...

02月15日9 views评论

阅读全文

安全文章

Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现

扫码加圈子获内部资料网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。0x1 前言Fastjson反序列化漏洞也是一个知名...

02月10日28 views评论

阅读全文

代码审计

Tabby 2.0 自动化代码静态审计：CVE-2024-53675&53676 HPE IRS XXE&RCE 漏洞

概述新年伊始 Tabby v2.0 正式发布了，过节正好有时间体验下实际效果。ZDI 去年底公开了 HPE Insight Remote Support 存在漏洞 CVE-2024-53675 和 C...

02月09日60 views评论

阅读全文

Fastjson漏洞利用及工具总结|挖洞技巧

fastjson【1247rce】漏洞初探索及复现

JNDI注入测试工具 JNDIInjectorGUI

fastjson 反序列化RCE漏洞复现

【JAVA安全】JNDI漏洞分析

工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

Weblogic IIOP 反序列化漏洞学习笔记(CVE-2020-2551)

JAVA 协议安全笔记-RMI篇

入坑Java安全之JNDI注入

浅谈JAVA RMI攻击

Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现

Tabby 2.0 自动化代码静态审计：CVE-2024-53675&53676 HPE IRS XXE&RCE 漏洞

在线咨询

微信