Weblogic Analysis Attacked by JNDI injection From CVE(part 4)

RoboTerh / 2022-11-22

接着前面的分析,这里主要是两个由JtaTransactionManager类的readObject方法调用过程中而造成的JNDI注入,其中第一个(CVE-2018-3191)是使用T3进行发送序列化数据,而第二个(CVE-2020-2551)这个经典的漏洞是通过IIOP来进行序列化数据的传递的

Weblogic Analysis Attacked by T3 Protocol From CVE (part 3)

RoboTerh / 2022-11-03

继续抽空学习Weblogic CVE中有关T3协议的漏洞利用方式!

Weblogic Analysis Attacked by T3 Protocol From CVE (part 2)

RoboTerh / 2022-10-24

这篇是继上篇中的T3协议进行漏洞利用,继续分析Weblogic CVE的有关利用方式和修复手法

Weblogic Analysis Attacked by T3 Protocol From CVE (part 1)

RoboTerh / 2022-10-11

WebLogic是美国Oracle公司的主要产品之一,是商业市场上主要的 J2EE 应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在 Java 应用服务器中有非常广泛的部署和应用。

我们这里通过Weblogic的CVE来学习各种的利用手法。

Dubbo反序列化漏洞分析集合2

RoboTerh / 2022-09-23

这篇是对上一篇进行了补充,添加了两个Hessian协议的分析和Kryo<5.0.0的利用和MRCTF中的Kryo>5.0.0特定场景利用。

Dubbo反序列化漏洞分析集合1

RoboTerh / 2022-09-09

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用、智能容错和负载均衡、以及服务自动注册和发现。

Dubbo RPC是Apache Dubbo体系中最核心的一种高性能、高吞吐量的远程调用方式,主要用于两个Dubbo系统之间远程调用。在Dubbo RPC中,支持多种序列化方式,如dubbo序列化、hessian2序列化、kryo序列化、json序列化、java序列化等等

XStream通览漏洞分析

RoboTerh / 2022-08-16

XStream是一个简单的基于Java库,Java对象序列化到XML,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。

RoboTerh

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

网络协议 文章:18 篇
Android 文章:89 篇
木马与病毒 文章:125 篇
逻辑漏洞 文章:15 篇
XSS 文章:34 篇

最新评论

B

BOT

@Deen 谢谢您的评论。是这样的,如果只是利用__FILE__变量和fun函数

V

v2ihs1yan

orz

F

foniw

师傅,这边有个问题 setter自动调用需要满足以下条件: 以set开头且第

D

Deen

谢谢分享哈,这里有个问题:__FILE__这个变量的存在导致了需要特定的文件名才

M

MasterK

666