代码审计
-
正则写配置文件常见的漏洞
之前ATEAM发了《这是一篇“不一样”的真实渗透测试案例分析》文章,其中dz的getshell的部份利用的就是对于配置文件正则处理不当,然后P牛的博客也写了一篇 经典写配置漏洞与几…
-
Fastjson 反序列化RCE分析
前言 fastjson是阿里巴巴的一个json库,频频爆RCE。本文分析fastjson至今的一些RCE漏洞。 fastjson的使用 引入库 <dependency>…
-
通达OA前台任意伪造用户登录分析
环境 通达OA历史版本下载:https://cdndown.tongda2000.com/oa/2019/TDOA11.4.exe 解密工具:https://pan.baidu.c…
-
Javassist 学习
前言 Java中所有的类都被编译为class文件来运行,在编译完class文件之后,类不能再被显示修改,而Javassist就是用来处理编译后的class文件,它可以用来修改方法或…
-
Ysoserial CommonsCollections2 反序列化分析
复现 JDK8u221,生成反序列化文件 java -jar ysoserial-master-30099844c6-1.jar CommonsCollections2 calc …
-
CVE-2020-10189 Zoho ManageEngine反序列化RCE
文章首发先知 漏洞描述 在3月6日,@steventseeley 在twitter上发布了关于 Zoho 企业产品 Zoho ManageEngine Desktop Centra…
-
Java代理模式学习
被问到了,就补一下。
-
攻击Java中的JNDI、RMI、LDAP(二)
上文我简述了JNDI,本文我将演示如何攻击JNDI。 JNDI注入 这个东西是BlackHat 2016(USA)的一个议题 “A Journey From JNDI …
-
XMLDecoder反序列化分析
简介 XMLDecoder是java自带的以SAX方式解析xml的类,其在反序列化经过特殊构造的数据时可执行任意命令。在Weblogic中由于多个包wls-wast、wls9_as…
-
通达OA 任意文件上传配合文件包含导致RCE
昨晚爆出来,今天早上分析分析。