unboundid | CN-SEC 中文网

安全文章

详解JNDI注入攻击原理和利用方式

JNDI简介JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API，一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API，通过...

06月24日2 views评论

阅读全文

安全文章

某攻防演练 | Log4j2 高版本JDK绕过实战

近期参加了地市的比赛，实属太难挖了，云资产+waf+封IP。非常艰难的一周。测试小程序，在翻看 burp 插件时，无意间发现了log4j2 漏洞，既兴奋又痛苦。于是我直接打开 vps，启动 jndi ...

06月22日15 views评论

阅读全文

代码审计

入坑Java安全之JNDI注入

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言最近在学习SpringMVC，刚好学到了J...

02月20日15 views评论

阅读全文

安全文章

实战中一次fastjson的jndi的tips

0x01、前言这是几天前的一次的一个教育厅hw，我朋友叫我帮忙看一下。一般实战我都是直接打，遇到问题就丢了。然后这次的问题则是jndi请求vps的class恶意文件，发现会提示jndi无法连接。这时候...

02月15日15 views评论

阅读全文

安全文章

LDAP反序列化

0x01 前言最近又回顾了一下LDAP反序列化漏洞，之前没有做笔记，借着这次机会补上，从漏洞复现角度出发，学习漏洞原理。0x02 漏洞分析01 环境搭建老样子，我们先来搭建复现需要的环境，新建一个空的...

03月05日51 views评论

阅读全文

安全博客

JNDI 注入浅析

JNDI 注入学习笔记 JNDI 介绍 wiki 讲的比我好 https://en.wikipedia.org/wiki/Java_Naming_and_Directory_Interface htt...

12月15日21 views评论

阅读全文

SecIN安全技术社区

从Deserialization和覆盖trustURLCodebase进行JNDI注入

Deserialization LDAP 在通过LDAP协议访问远程服务的时候，我们可以跟进到 LdapCtx#c_lookup方法中这里调用了 doSearchOnce方法获取LDAP远程返回的R...

03月12日32 views已关闭评论

阅读全文

代码审计

原创 | 从Deserialization和覆盖trustURLCodebase进行JNDI注入

点击蓝字关注我们DeserializationLDAP在通过LDAP协议访问远程服务的时候，我们可以跟进到LdapCtx#c_lookup方法中这里调用了doSearchOnce方法获取LDAP远程返...

12月01日41 views评论

阅读全文

详解JNDI注入攻击原理和利用方式

某攻防演练 | Log4j2 高版本JDK绕过实战

入坑Java安全之JNDI注入

实战中一次fastjson的jndi的tips

LDAP反序列化

JNDI 注入浅析

从Deserialization和覆盖trustURLCodebase进行JNDI注入

原创 | 从Deserialization和覆盖trustURLCodebase进行JNDI注入

在线咨询

微信