月度归档: 2020年3月

3 篇文章

thumbnail
Java 反序列化漏洞(1) – Java RMI 原理/流程
前言 最近搭建了很多测试环境 , 使用了像 Ysoserial , Marshalsec 等利用工具 . 也搭建了像 FastJson 1.2.47 反序列化漏洞 这样的测试环境 . 在复现过程中多次遇到了像 RMI , JNDI注入 等专有名词 . 一直不明白它们的含义 . 现在稍微有一些空闲时间了, 专门拿出来学习并记录下来 . JAVA RM…
thumbnail
CVE-2020-1938 幽灵猫( GhostCat ) Tomcat-Ajp 协议任意文件读取/JSP文件包含漏洞分析
前言 今年分析的第一个漏洞 , 记录在这里. 分析该漏洞的原因主要有两个 : 自己对 Tomcat 整体架构的流程不熟悉 , 年后工作中需要制作很多靶场环境, 其中就包含了不少Tomcat漏洞环境 . 由于没有怎么看过 Tomcat , 因此在环境搭建时出了很多问题 . 所以这里想要系统的学习下 Tomcat 组件 . 前段时间各种忙着忙那, 很久…
thumbnail
公告 : 恢复更新
恢复更新 最近不忙了, 这几天恢复更新 , 记录一下学到的东西