log4j2搭建复现探究
前言 log4j2应该是在21年左右爆出来的漏洞,影响甚大,当时只要用了apache log4j2的这个组件,那么很可能就存在潜在危险了。之前也遇见过这个漏洞,当时是直接网上一搜直接用的,今天来分析一下这个漏洞。 漏洞简介 Apache log4j2是基于java的日志工具。开发者留了递归解析的功能
JFinal CMS 5.1.0 命令执行漏洞分析(CVE-2024-53477)
环境搭建 git clone https://github.com/jflyfox/jfinal_cms.git 拉取5.1.0版本。 Tomcat 9.0.96 JDK 17.0.1
初探Fastjson漏洞
fastjson是什么 fastjson是阿里巴巴的开源J的SON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。 环境搭建 导入依赖 这里先演示 1.2.24 <dependency>
目录穿越(目录遍历)总结
前言 在前段时间省级hw期间,这个漏洞还是暴漏的不少的,并且危害不小;然后就通过这篇文章记录一下关于这个洞的一些细节。 nginx目录穿越 在nginx配置中,有一个关键字autoindex。他的作用就是是否开启目录浏览;也就是是否能看到目录下的文件。 &n
云主机SK/AK泄露利用
前言 昨天看了一份hw报告,其中是对云主机泄露了AK/SK的利用,之前没有接触过。今天来学习记录一下。本文章主要讲理论和一些工具介绍以及如何防护。 介绍 什么是SK/AK 云主机通过
java安全CC6链分析
前言 前面已经分析过了cc1链子,但是这个链子有jdk限制,在Java 8u71以后,这个链子就不能再利用了。主要是因为sun.reflect.annotation.AnnotationInvocationHandler#readObject里面逻辑变换了,没有setValue了。 而这篇文章要分析