点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见严正声明本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...
狂野!利用 Fastjson注入内存马~
在下方公众号后台回复:【网络安全】,可获取给你准备的最新网安教程全家桶。前言起因是因为工位旁边的“帅比”同事写内存马的时候挠头搞环境,实在看不下去了。让他用我的靶机他就是不听。直接拿我之前写的漏洞靶场...
Apache Tomcat安全约束绕过漏洞安全风险通告
漏洞背景近日,嘉诚安全监测到Apache Tomcat安全约束绕过漏洞,漏洞编号为:CVE-2025-49125。Apache Tomcat是一个开源的Java Servlet容器和Web服务器,主要...
金和OA任意文件读取漏洞
0x00 漏洞编号暂无0x01 危险等级中危0x02 漏洞概述金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台、电子政务一体化平台、智慧电...
Tomcat URL解析差异性导致的安全问题
免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢...
Servlet内存马探究
Servletweb.xml<?xml version="1.0" encoding="UTF-8"?><web-app xmlns="http://xmlns.jcp.org/xm...
感谢大家的关注与支持 送两0DAY吧
0x01 前言前几天随手写的一篇文章,没想到还小爆了一下,给我涨了几百粉丝,哎。。。没啥东西可以送给大家,就送两小day吧,也是顺手挖的,互联网找了一下没有公开,暴露在互联网的资产基本都可以打,本来寻...
Java Web代码执行漏洞回显总结
最近在学习几位师傅研究的Java Web代码执行漏洞下的回显方式,收获很多,能力有限,此文也没有什么新的思路,仅当个人学习笔记 在java漏洞利用中经常出现获取不到执行结果的情况,之前常见的方法即通过...
Tomcat Ajp协议漏洞
Tomcat主要是提供Servlet/JSP容器,静态资源的处理速度以及Web服务管理功能方面不如其他专业的HTTP服务器,所以使用效率和性能更高二进制TCP传输协议ajp协议以供其他web服务器进行...
Jboss JMXInvokerServlet-deseriali
Jboss JMXInvokerServlet-deserialization漏洞复现影响范围JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3...
Tomcat CVE-2024-50379 条件竞争导致命令执行
漏洞描述如果默认 Servlet 启用了写权限(即readonly初始化参数被设置为非默认值false),在不区分大小写的文件系统中,同一文件的并发读取和上传操作可能会绕过 Tomcat 的大小写敏感...
Java Servlet 内存马浅析
需结合 https://xz.aliyun.com/news/12075 文章来看什么是 Servlet 内存马?Servlet 内存马是通过在 Web 容器中动态注册、修改或劫持现有 Servlet...