rmi - 第 5 | CN-SEC 中文网

安全漏洞

Apache Jackrabbit 反序列化漏洞 CVE-2023-37895

漏洞描述：ApacheJackrabbit是一个内容仓库，适用于构建各种内容管理应用程序。在webapp、standalone版本中使用了 commons-beanutils 组件来进行对象反序列化。...

10月13日25 views评论

阅读全文

HW&HVV

技战法分享

XXXX应对JNDI注入攻击的防护技战法JNDI是Java提供的一个目录服务应用程序接口（API），它提供一个目录系统，并将服务名称与对象关联起来，从而使得开发人员在开发过程中可以使用名称来访问对象 ...

09月28日38 views评论

阅读全文

安全工具

Java rmi扫描工具-RMG

01—rmg 打靶机的时候遇见的java扫描工具-rmg，链接如下 https://github.com/qtc-de/remote-method-gues...

09月25日78 views评论

阅读全文

JNDI服务利用工具 RMI/LDAP，支持内存马、高版本JDK下利用等，fastjson/log4j rce漏洞检测辅助工具

01工具介绍 JNDI服务利用工具 RMI/LDAP，支持部分场景回显、内存shell，高版本JDK场景下利用等，fastjson rce命令执行，log4j rce命令执行漏洞检测辅...

09月25日安全工具48 views评论

阅读全文

安全文章

jdk21下的jndi注入

jdk21bypass限制点对LDAP限制我们知道打LDAP反序列化无论是远程类加载，还是直接传入序列化的数据或者是打工厂类都是在我们的decodeObject方法jdk21static Object...

09月02日53 views评论

阅读全文

安全开发

Fastjson反序列化利用链分析

一实验环境◆jdk1.8◆windows10pom依赖 <dependency> <groupId>com.alibaba</groupId> <artifa...

08月31日22 views评论

阅读全文

安全工具

SmartBI远程代码执行利用工具

工具简介 SmartBI登录代码逻辑漏洞导致的远程代码执行利用工具，所有请求与响应均使用RMICoder进行编解码，规避现有流量设备检测。支持功能：登录代码逻辑漏洞检测命令执行文件上传内存马注入用户...

08月06日220 views评论

阅读全文

【JAVA安全】JNDI注入

介绍JNDI（Java Naming and Directory Interface）用来查找和访问各种资源，比如定位用户、网络、机器、对象、服务等资源。JNDI底层支持RMI（Registry Se...

08月05日代码审计28 views评论

阅读全文

代码审计

Smartbi windowUnloading 绕过分析

这段常态化时期，每天都整理和学习历年能打穿小朋友的漏洞，本文转载自https://exp.ci/2023/07/03/Smartbi-windowUnloading%20%E7%BB%95%E8%BF...

08月02日68 views评论

阅读全文

安全文章

log4j2远程代码执行漏洞

log4j2漏洞原理？CVE-2021-44228，简称：log4j2，利用漏洞可以执行任意命令。该漏洞影响所有 log4j2 受影响的版本，包括 2.x 到 2.15.0。这个漏洞利用了一个缺陷，允...

05月17日33 views评论

阅读全文

代码审计

JEP290攻防对抗录

JEP290简介JEP290增强机制是在2016年提出的一个针对JAVA 9的一个新特性，用于缓解反序列化攻击，随后官方决定向下引进该增强机制，分别对JDK 6,7,8进行了支持：Java SE De...

05月15日12 views评论

阅读全文

代码审计

log4j2远程代码执行漏洞原理

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！log4j2漏洞原理？CVE-2021-44228，简称：log4j2，利用漏洞可以执行任意命令。该漏洞影响所有 log4j2 受影响的版本，...

05月13日32 views评论

阅读全文

在线咨询

微信