随笔分类 -  审计

JAVA审计-命令执行
发表于 2022-03-03 00:38阅读:138评论:0推荐:0
摘要:前言 审计中最直接shell的还是rce,本篇记录下java中命令执行。 0x01 Runtime执行 public class LocalRuntime extends HttpServlet { @Override protected void doGet(HttpServletRequest 阅读全文 »
posted @ 2022-03-03 00:38 N0r4h 阅读(138) 评论(0) 推荐(0) 编辑
JAVA审计-文件操作
发表于 2022-03-03 00:37阅读:64评论:0推荐:0
摘要:前言 上篇主要是关于文件上传的操作,这一篇记录一下其他文件操作 0x01 任意文件下载/读取 @WebServlet("/FileRead") public class fileRead extends HttpServlet { @Override protected void doGet(Htt 阅读全文 »
posted @ 2022-03-03 00:37 N0r4h 阅读(64) 评论(0) 推荐(0) 编辑
JAVA审计-文件上传
发表于 2022-03-02 16:25阅读:391评论:0推荐:0
摘要:前言 本篇记录关于java审计中文件上传部分。 0x01 Commons-FileUpload组件 利用这个组件上传是平时代码上传中遇到最多的。 关于Commons-FileUpload Commons-FileUpload是Apache的一个组件,依赖于Commons-io,也是目前用的比较广泛的 阅读全文 »
posted @ 2022-03-02 16:25 N0r4h 阅读(391) 评论(0) 推荐(0) 编辑
JAVA审计-SSRF
发表于 2022-02-19 01:46阅读:172评论:0推荐:0
摘要:前言 记录一下java中ssrf的审计。 0x01 关于SSRF 原理 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 大部分的web服务器架构中,web服务器自身都可以访问互联网和服务器所在的内网。 作用 对外网服务器所在的内网、本地进行端口扫描,获取一些服务的banne 阅读全文 »
posted @ 2022-02-19 01:46 N0r4h 阅读(172) 评论(0) 推荐(0) 编辑
JAVA审计-XXE
发表于 2022-02-08 22:40阅读:626评论:0推荐:0
摘要:前言 本篇记录一下审计中的XXE漏洞 0x01 关于XXE 关于DTD XXE(XML External Entity Injection) 全称为 XML 外部实体注入,这也是一个注入,但是需要注意的是这里注入的是XML外部实体,普通的xml注入几乎没有危害。那什么是外部实体? XML 文档有自己 阅读全文 »
posted @ 2022-02-08 22:40 N0r4h 阅读(626) 评论(0) 推荐(0) 编辑
JAVA代码审计-XSS
发表于 2022-02-02 00:23阅读:387评论:0推荐:0
摘要:前言 本篇记录一下java代码审计的XSS漏洞需要关注的点。 0x01 XSS漏洞分析 XSS产生 后台未对用户输入进行检查或过滤,直接把用户输入返回至前端。导致javascript代码在客户端任意执行。 代码举例 public void Message(HttpServletRequest req 阅读全文 »
posted @ 2022-02-02 00:23 N0r4h 阅读(387) 评论(0) 推荐(0) 编辑
JAVA审计-SQL注入
发表于 2021-12-28 22:58阅读:143评论:0推荐:0
摘要:0x00 前言 记录一下学习java审计的过程。 0x01 JDBC方式 1. 三个对象: connection connection对象代表数据库 可以设置数据库自动提交。事务提交(connection.commit()),事务回滚(connection.rollback())。 statemen 阅读全文 »
posted @ 2021-12-28 22:58 N0r4h 阅读(143) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示