摘要:
前言 Xstream是一个基于java语言的xml操作类库,同时也是Java对象和XML相互转换的工具,提供了所有的基础类型、数组、集合等类型直接转换的支持。因此XML常用于数据交换、对象序列化。本文将从Xstream的环境搭建到CVE-2020-26217远程代码执行漏洞的复现分析做一个记录。 环 阅读全文
摘要:
前言 续着上一篇的笔记,把java安全的命令执行另外的ProcessBuilder和ProcessImpl这部分的笔记也记录一下。通过上一篇的runtime类命令执行的调试笔记,我们也知道,Runtime类下一层就是调用ProcessBuilder类和ProcessImpl类中的方法来操作的,具体的 阅读全文
摘要:
前言 java安全里最关键的可以说就是命令执行了,无论是反序列化还是什么RCE漏洞,要说最终最能体现漏洞价值的话,那就是非命令执行莫属了。这次打算花点时间好好总结整理下java命令执行的几种方式,并做些浅面的分析。最近刚好看到了360BugCloud公众号的一篇java命令执行的调试分析文章,我也跟 阅读全文
摘要:
漏洞描述 Apache Dubbo是一款高性能Java RPC框架,核心功能是方便面向接口的远程过程调用,集群容错和负载均衡,以及服务自动注册与发现。 Apache Dubbo支持多种协议,官方默认为 Dubbo 协议。当用户选择http协议进行通信时,Apache Dubbo 将接受来自消费者远程 阅读全文
摘要:
0x01 Apache Commons Collections Apache Commons Collections是一个第三方的基础类库,提供了很多强有力的数据结构类型并且实现了各种集合工具类,可以说是apache开源项目的重要组件。 要分析这个反序列化,首先要从Transformer类开始介绍。 阅读全文
摘要:
前言 从之前shiro、fastjson等反序列化漏洞刚曝出的时候,就接触ysoserial的工具利用了,不过这么久都没好好去学习过其中的利用链,这次先从其中的一个可以说是最简单的利用链URLDNS开始学起。 分析 单独看URLDNS的利用链,ysoserial的URLDNS代码:https://g 阅读全文
摘要:
0x01 介绍 顾名思义,注入点出现在oder by后面即可称为order by 注入 正常的oder by 语句: select * from users order by id desc; 当desc此处位置参数可控时,即有可能存在oreder by注入,那么如何在这样的情况下注出我们想要的数据 阅读全文
摘要:
什么是反射 反射机制在java中可以说是非常强大的,很多优秀的开源框架都是通过反射完成的。在java的运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法,都能够调用它的任意一个方法和属性,这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。下面介绍下基于反射技术的函数 阅读全文
摘要:
SSTI(Server-Side Template Injection),即服务端模板注入攻击。 实例: from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/" 阅读全文
摘要:
#一.什么是xxe 既然这篇文章说的是xxe的升级之旅,那么什么是xxe呢? 其实xxe也是一类注入漏洞,英文全名即Xml External Entity Injection,即我们所说的xml外部实体注入攻击。因为实体可以通过预定义在文档中被调用,而实体的标识符又可以访问本地或者远程内容,当允许引 阅读全文