分类: jndi

jndi攻击

4 篇文章

jndi-互相攻击
|
310
|
0
|
java security,jndi

1942 字
|
25 分钟
jndi-互相攻击 基础知识 开始前有必要回忆一下server,register,client的知识点 client是如何反序列化加载register的远程对象的: client暴露了lookup方法,参数可控 server提供了恶意类的地址,并向register注册自己远程(恶意)类的服务 register为server提供注册功能,同时接受并处…
高版本jdk下JNDI漏洞的利用方式 (二)
|
460
|
0
|
java security,jndi

757 字
|
11 分钟
承接之前的那篇,改正了一些地方 利用本地Class作为Reference Factory com.thoughtworks.xstream.XStream new com.thoughtworks.xstream.XStream().fromXML(String)同样符合条件 利用条件 com.thoughtworks.xstream 依赖 pom…
高版本jdk下JNDI漏洞的利用方式(一)
|
1,058
|
0
|
java security,jndi

2346 字
|
34 分钟
之前jndi那篇的高版本jdk利用写的不那么好,这次写一个比较好并且比较全的 JDK >= 8u191 关于JDK >= 8u191的利用目前公开有两种绕过的方法,这里测试的JDK版本为JDK 8u202 参考: 如何绕过高版本 JDK 的限制进行 JNDI 注入利用 (seebug.org) JNDI注入学习 - 先知社区 (aliy…
jndi 的各个版本下的利用方式
|
576
|
0
|
java security,jndi

1682 字
|
28 分钟
前言: 其实是浅学一下jndi的各个版本下常见的利用姿势,还有些东西没有深入。这里看太久没更新拿以前的文章水一篇博客 jndi 原文:JNDI注入学习 - 先知社区 (aliyun.com) 全称 Java Naming and Directory Interface jndi与rmi 这两个很像,可以说都是marshalsec一句话能搞定的事情 …