07 2023 档案
摘要:基础知识 Expect 是 Unix 系统中用来进行自动化控制和测试的软件工具 , 作为 Tcl 脚本语言的一个扩展,应用在交互式软件中 spawn命令启动新的进程来进行交互式的运行,spawn后的send和expect命令都是和spawn打开的进程进行交互的。 send命令接收一个字符串参数,并将
阅读全文
摘要:JasperReport是一个强大、灵活的报表生成工具,能够展示丰富的页面内容,并将之转换成PDF、HTML、XML等格式。该库完全由Java写成,可以用于在各种Java应用程序,包括J2EE,Web应用程序中生成动态内容。JasperReports附带了报表编译器,可以在报表表达式内部使用Groo
阅读全文
摘要:2023年5月23日, Rocketmq 爆出 CVE-2023-33246 RCE高危漏洞。 在一定条件下, 攻击者可以利用该漏洞通过更新配置功能以RocketMQ运行的系统用户身份执行命令 。 漏洞利用与复现 攻击者成功RCE需要满足以下条件 Rocketmq 版本 < 5.1.1 或 < 4.
阅读全文
摘要:JNDI注入与高版本绕过方式 为了方便大家测试与漏洞排查,为大家总结了快速验证漏洞的各种方式 一、简单利用marshalsec快速搭建JNDI(ldap/rmi)服务 marshalsec是一款java反序列利用工具,其可以很方便的起一个ldap或rmi服务,通过这些服务来去访问攻击者准备好的恶意执
阅读全文
