随笔分类 -  Java安全攻防

Weblogic xmldecoder反序列化中的命令回显与内存马总结
摘要:首发先知社区:https://xz.aliyun.com/t/10323 虽说weblogic xmldecoder的洞是几年前的,但是之前内外网场景下老是遇到,大多数情况是不出网、不方便写webshell(weblogic负载均衡,轮询)场景,需要解决的问题就是回显构造和内存马的植入。所以想花个时 阅读全文
posted @ 2021-10-11 21:50 卿先生 阅读(2115) 评论(0) 推荐(1) 编辑
从0学习WebLogic CVE-2020-2551漏洞
摘要:先知社区:https://xz.aliyun.com/t/7725 最近遇到的实际环境为weblogic,所以这里顺便总结下测2020-2551的一些相关的点 2551也是学习了很多优秀的师傅文章,非常感谢 0X00 漏洞利用基础学习 从0开始学习复现这个洞不免又会设计到Java反序列化漏洞中那些老 阅读全文
posted @ 2020-04-12 02:25 卿先生 阅读(4952) 评论(0) 推荐(1) 编辑
Hibernate HQL注入与防御(ctf实例)
摘要:遇到一个hql注入ctf题 这里总结下java中Hibernate HQL的注入问题。 0x01 关于HQL注入 Hibernate是一种ORM框架,用来映射与tables相关的类定义(代码) 内部可以使用原生SQL还有HQL语言进行SQL操作。 HQL注入:Hibernate中没有对数据进行有效的 阅读全文
posted @ 2019-10-10 21:40 卿先生 阅读(7156) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示