前言 整理复现一下互联网fastjson 高版本jdbc利用。 fastjson 1.2.68 版本与jdbc mysql-connector-...

前言 在一次渗透测试发现系统存在任意文件读取的漏洞，也拿到了源代码，遇到了jar包环境拿shell的问题，记录着失败的过程。 弱口令 开局一个普...

前言 实际中遇到很多微服务框架开发的系统，系统内部有的存在数据库连接功能。当存在mysql连接选项时，可能存在Mysql JDBC 反序列化漏洞...

前言 Log4j2漏洞出现很久了，该漏洞需要结合JNDI注入利用。在黑盒情况下往往存在各种利用失败的情况，带着实战中遇到过的问题在不会分析源码的...

前言 实战中会遇到众多fastjson不出网的情况，或者fastjson漏洞无法ldap的情况，探究一下不出网情况的利用姿势。 BCEL类 利用...

前言 在一次攻防演练中遇到了某OA，未授权漏洞全部经过了认证，好在细节的挖掘成功getshell。 获取源码 先简单测试一下，用户名密码加密验证...

前言 很久之前学习过一点php里的MVC（模型-视图-控制器）架构。在学习java时遇到了SpringMVC框架，这里做一个记录。 Servle...

前言 听说哥斯拉利用JNA技术实现了内存加载exe、执行命令等操作，特来学习一下。 JNA 基础知识 JNA全称：Java Native Acc...

前言 众所周知，多个oa中都使用了金格iWebOffice控件。但在不同的oa中exp多少存在差异性，尝试从代码层一探究竟。 简介 金格iWeb...