發簡信
IP屬地:山東
-
Mysql JDBC 反序列化復現前言 實際中遇到很多微服務框架開發的系統,系統內部有的存在數據庫連接功能。當存在mysql連接選項時,可能存在Mysql JDBC 反序列化漏洞...
-
log4j2 漏洞繞過jdk高版本復現前言 Log4j2漏洞出現很久了,該漏洞需要結合JNDI注入利用。在黑盒情況下往往存在各種利用失敗的情況,帶著實戰中遇到過的問題在不會分析源碼的...
-
fastjson 不出網利用前言 實戰中會遇到眾多fastjson不出網的情況,或者fastjson漏洞無法ldap的情況,探究一下不出網情況的利用姿勢。 BCEL類 利用...
-
記一次某OA系統漏洞挖掘前言 在一次攻防演練中遇到了某OA,未授權漏洞全部經過了認證,好在細節的挖掘成功getshell。 獲取源碼 先簡單測試一下,用戶名密碼加密驗證...
-
SpringMVC學習前言 很久之前學習過一點php里的MVC(模型-視圖-控制器)架構。在學習java時遇到了SpringMVC框架,這里做一個記錄。 Servle...
-
JNA 調用動態鏈接庫學習前言 聽說哥斯拉利用JNA技術實現了內存加載exe、執行命令等操作,特來學習一下。 JNA 基礎知識 JNA全稱:Java Native Acc...
-
金格iWebOffice控件分析前言 眾所周知,多個oa中都使用了金格iWebOffice控件。但在不同的oa中exp多少存在差異性,嘗試從代碼層一探究竟。 簡介 金格iWeb...
-
phar 反序列化學習前言 在復現CVE-2021-3129 時,用到了phar 反序列化,特地學習一下。 概念 phar (PHP Archive) 是PHP一種類...
-
記一次失敗的釣魚,成功的key前言 某次攻防演練中遇到幾個oa系統,其中一個醫院的oa系統還算有些意思。在此復盤一下。 登錄 映入眼簾的就是一個登錄頁面。 首先看到一處"忘記...