一、漏洞介绍0x01 fastjson介绍 Fastjson是阿里巴巴公司开源的一款json...
原创 | 浅析JNDI注入
点击蓝字关注我们JNDITrail: Java Naming and Directory Interface (The Java Tutorials) (oracle.com)The JNDI Tut...
CVE-2020-2551 深入 IIOP 检测与 Non-Java(Yak) 利用
背景Weblogic的7001端口默认支持T3协议和IIOP协议,本文将基于CVE-2020-2551漏洞分析weblogic的IIOP协议与其利用。与IIOP协议相关的一些名词还有CORBA、IDL...
fastjson漏洞利用
Fastjson 简介Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Ja...
WebLogic IIOP协议反序列化漏洞复现
点击上方“蓝字”,发现更多精彩。0x00 漏洞简述2020年1月15日,Oracle发布了一系列的安全补丁,其中Oracle WebLogic Server产品有高危漏洞,漏洞编号CVE-2020-2...
JBoss EAP/AS <= 6.* RCE及rpc回显
小贼看剑下次偷文章的时候麻烦先问下作者是否允许,我还以为作者投敌了呢!前言image.png这个洞是在国外Alligator Conference 2019会议上的一个议题,ppt在这里 https:...
从Fastjson和Log4j2学习JNDI注入
文章首发于:火线Zone社区(https://zone.huoxian.cn/)JNDI介绍Java命名和目录接口是Java编程语言中接口的名称( JNDI )。它是一个API(应用程序接口),与服务...
Apache Solr不安全配置远程代码执行漏洞复现及jmx rmi利用分析
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
洞见简报【2022/4/25】
2022-04-25 微信公众号精选安全技术文章总览洞见网安 2022-04-25 0x1 网刃杯赛题-部分WPWgpSec狼组安全团队 2022-04-25 22:47:16网刃杯赛题-部...
java安全-jndi注入
log4j横扫世界,在爆刚出来的时候,我还不会java,最近学习java,赶紧把jndi注入学学。 0x00 什么是 JNDI? JNDI(Java Naming and Directory Inte...
除了各种 DNSLog 之外还有得选吗?
橘子与橙子 在 “抽象的黑盒漏洞扫描与风险技术评估方法论” 中,我们提出了反连的各种姿势,简单总结一下:通过实现通信协议来进行反连检测:DNSLog / RMI...
源码层面梳理Java RMI交互流程
0x00 RMI简述 RMI(Remote Method Invocation)是Java语言执行远程方法调用的Java API,相当于面向对象的远程过程调用(RPC),支持直接传输序列化的Java类...
11