12 2024 档案
摘要:学Java安全的时候发现好多师傅分析漏洞的时候直接就给了一段Base64字节码,然后虽然一些师傅也会给出来对应的代码,但是有些小白是不知道怎么把一个java类转成Base64字节码的。 对于刚学Java安全的小白来说真的太不友好啦,也不知道这玩意儿是什么意思,所以这里写一个小工具,专门用来把Java
阅读全文
摘要:本篇是上一篇的续篇,主要是对上一篇中的额外内容进行补充 上一篇地址:log4j2 变量注入漏洞(CVE-2021-44228) 漏洞绕过 这里主要补充一下知道服务可以触发log4j2漏洞,但是漏洞无法被利用的情况,然后罗列了一些常见的绕过方法。 绕过WAF防御 有的WAF在漏洞出现后针对提出 ${
阅读全文
摘要:log4j2 JNDI注入漏洞(CVE-2021-44228) 概述 本文非常详细的从头到尾debug了CVE-2021-44228漏洞的利用过程,喜欢的师傅记得点个推荐~ Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被
阅读全文
