1 SpringSecuritydi0xide@深蓝攻防实验室天玄战队1.1 前言SpringSecurity 是在java开发中,很常用的一个库,用于身份验证、授权和安全性等功能上,在我们白盒测试的...
【Web实战】内存马系列 Netty/WebFlux 内存马
XXL-JOB EXECUTOR/Flink 对应的内存马原文链接:https://forum.butian.net/share/2593前言作为Java内存马板块最冷门的一个,文章也不是很多,但实战...
Spring AMQP 反序列化漏洞 (CVE-2023-34050) 分析
Spring AMQP 反序列化漏洞 (CVE-2023-34050) 分析 昨天 watchvuln 收到了通告, 简单花了点时间看了看这个漏洞 https://spring.io/security...
NCTF 2021 Web 部分复现
今年 nctf 快要开始了, 做做去年的题 看了 wp 之后发现自己对前端安全还是不太熟, 太菜了呜呜 X1cT34m_API_System题目是一个 springboot 网站, 实现了用户注册和登...
【漏洞通告】Spring Framework 拒绝服务漏洞CVE-2023-34053
漏洞名称:Spring Framework 拒绝服务漏洞(CVE-2023-34053)组件名称:Spring Framework影响范围:6.0.0 ≤ Spring Frame...
收集内存马打入方式
SPEL一款用不加模板解析的payloadT(java.lang.Runtime).getRuntime().exec("calc")new+java.lang.ProcessBuilder("cmd...
Spring内存马——Controller/Interceptor构造
出品|先知社区(ID:godown)声明以下内容,来自先知社区的godown作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者...
原创 | SPEL注入流程分析及CTF中如何使用
点击蓝字关注我们配置https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rc...
CVE-2022-41852 Apache Commons Jxpath 漏洞分析
更多全球网络安全资讯尽在邑安全前言前几天有漏洞通告说Apache官方的 Commons JXPath组件如果接收不可信的XPath表达式将会导致命令执行的危害在官方的通报中,所有的用来解析传入的XPa...
内存马学习之SpringBoot Interceptor内存马
0x01 前言内存马系列他又来了,之前就分析过了,一直没有记笔记,可能很多大佬都学过了,并不是为了重复造轮子,只是为了能搞懂轮子的结构,如果以后轮子坏了,也可以自己修,写的不好的地方多多包涵。0x02...
网鼎CTF之you can find it 题解—Spring通用MemShell改造
以下内容首发于先知社区,原文地址:https://xz.aliyun.com/t/1168800 概述之前参加了网鼎玄武组的CTF,有道题挺有意思。这道题目给了一个findIT.jar 附件...
Spring Cloud 内存马注入
0x00 漏洞简介Spring Cloud Gateway是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 AP...
4