Java安全之JNDI注入 文章首发:Java安全之JNDI注入 0x00 前言 续上篇文内容,接着来学习JNDI注入相关知识。JNDI注入是Fastjson反序列化漏洞中的攻击手法之一。 0x01 JNDI 概述 JNDI(Java Naming and Directory Interface,J ...
分类:
编程语言 时间:
2020-11-17 12:20:36
阅读次数:
10
一、环境 靶机:centos7虚拟机 ip:192.168.8.11 物理机:windows10 burp suite 二、原理 SSRF原理: 是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。 攻击者无权访问 ...
分类:
Web程序 时间:
2020-11-16 14:06:05
阅读次数:
22
2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上, ...
分类:
编程语言 时间:
2020-11-13 12:51:08
阅读次数:
13
Professional mechanics require the use of professional OBD2 diagnostic tools to get the job done. but before selected outstanding high-end scanners, w ...
分类:
其他好文 时间:
2020-11-12 13:22:27
阅读次数:
9
上传的时候修改Content-Type为image/jpeg等程序指定的类型即可。 修改为: 使用蚁剑连接测试 ...
分类:
Web程序 时间:
2020-11-11 16:31:43
阅读次数:
14
pass-03 只禁止了部分扩展名,还有.php5等扩展名可以解析为PHP。 上传.php5即可。 类似的扩展名有:php2,php3、php4、php5、phtml、等 ...
分类:
Web程序 时间:
2020-11-11 16:31:19
阅读次数:
15
前言 Redis事务本质:一组命令的集合!一个事务中的所有命令都会被序列化,在事务执行过程中,会按照顺序执行! 一次性、顺序性、排他性!执行一系列的命令! 队列 set set set 等等命令 执行 Redis的事务没有隔离级别的概念! 所有的命令在事务中,并没有直接被执行!只有发起执行命令的时候 ...
分类:
其他好文 时间:
2020-11-11 15:43:42
阅读次数:
8
多命令执行 每个命令用;隔开 # 各命令执行结果并不会影响其他命令的执行 la; ls /; 每个命令用&隔开 # 前面的命令会影响到后面的命令的执行,前面执行成功才会执行后面的命令。 la&ls & 每个命令用|| 隔开 # 前面执行失败才执行后面的命令。 ls || ls; 管道 符号 | 定义 ...
分类:
系统相关 时间:
2020-11-10 11:04:01
阅读次数:
13
前段时间为了方便探测fastjson写的一个小插件,在抓包测试的同时第一时间可进行探测是否存在fastjson漏洞 免责申明 第 一 条 使用者因为违反本声明的规定而触犯中华人民共和国法律的,一切后果自己负担,脚本作者不承担任何责任。 第 二 条 凡以任何方式直接、间接使用作者资料者,视为自愿接受声 ...
分类:
Web程序 时间:
2020-11-08 17:59:45
阅读次数:
48
转自:https://blog.lfoder.cn/2020/06/04/ 漏洞扫描-AWVS-Nessus-Docker版/ Docker源长期及时更新,感谢雷石安全实验室。 在docker仓库已经打包好2个扫描器,分别是awvs13和nessus,供广大兄弟们使用。 docker命令 # 拉取镜 ...
分类:
其他好文 时间:
2020-11-08 17:40:59
阅读次数:
44
