![](https://img-blog.csdnimg.cn/20201014180756923.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
代码审计系列
文章平均质量分 63
Adsatrtgo
这个作者很懒,什么都没留下…
展开
-
CodeQL 使用
codeql的工具以及使用方法入门原创 2022-12-08 21:59:05 · 310 阅读 · 0 评论 -
python-javalang抽象语法树
javalang原创 2022-10-17 02:13:44 · 1163 阅读 · 0 评论 -
CodeQL 安装与配置体验
学习CodeQL-安装与配置原创 2022-10-06 11:23:47 · 872 阅读 · 0 评论 -
动态IAST代码审计
平台地址:https://iast.huoxian.cn/基于agent代码侵入,在调用代码的过程中触发agent 监控hook,并且回传到IAST平台1 下载agent2 打包本地项目使用插件或者命令行都可尝试运行java -javaagent:agent.jar -Dproject.name=api -jar xxx.jar3 动态尝试调用,请求业务,IAST平台观察结果新建项目,选择刚才的agent调用业务代码后,观察结果:...原创 2021-08-09 11:06:52 · 872 阅读 · 0 评论 -
java执行命令的一些总结
0x01 exec或者ProcessBuilder java.lang.Runtime.getRuntime ().exec(new String[]{"open","./"});以及new ProcessBuilder(new String[]{"open","./"} ).start ();两者关系,在ProcessBuilder类start下断点,发现exec最终也会执行到此处0x02 使用ScriptEngineManager引擎 Str...原创 2021-08-04 11:42:56 · 216 阅读 · 0 评论 -
BCEL字符串还原object
捕获到becl字符串:$$BCEL$$$l$8b$I$A$A$A$A$A$A$AmT$5bS$d3$40$U$fe$b6$84$$$84p$z$I$I$w$e0$85$C$z$I$e2$8d$9b$I$82$a2$F$R$Q$c5$eb$a4$e9$C$c16$e9$q$a9$c2$m$bf$c7g$7c$u$8e$cc$f8$e8$83$bf$c3g$7f$81$p$9eM$81$c2$90d$b2$9bs$be$_g$bfs$f6l$7e$fd$fb$fe$D$c0$A$de$ab$a8$c3u$原创 2021-06-10 10:20:04 · 1928 阅读 · 0 评论 -
java反序列漏洞的一点点思考
基础知识点:序列化是指把 Java 对象转换为字节序列的过程。Java 反序列化是指把字节序列恢复为 Java 对象的过程;注意这里的反序列化漏洞不仅仅指的是如借助Apache Commons Collections依赖触发的漏洞,还包括json类型转对象,XML类型转对象,YAML类型转对象,SOAP等等0x01 反序列化漏洞的几种分类:1 常见类型:Apache Commons Collections 触发方式:构造一个重写了readobject的类,调用TemplatesImpl.ge..原创 2020-08-16 16:27:35 · 213 阅读 · 1 评论 -
F5 BIG-IP远程代码执行漏洞
F5 RCE和Getshell 漏洞分析以及复现0x01 漏洞概述在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。影响范围BIG-IP 15.x: 15.1.0/15.0.0BIG-IP 14.x: 14.1.0 ~ 14.1原创 2020-07-09 11:33:14 · 1808 阅读 · 0 评论 -
sql注入系列--mybtais中的sql注入场景
经常在代码审计中会遇到mybtais框架中关于sql注入的问题,如扫描器会提示#,$的高警,今天就以实战的角度去理解这个问题,后续还将总结关于sql注入的bypass和各种场景0x01 关于mybatis框架概念ORM(Object-Relationship-Mapping):是对象关系映射的意思,它是一种思想,是指将数据库中的每一行数据用对象的形式表现出来。JPA(Java-Persis...原创 2019-11-07 12:57:37 · 427 阅读 · 0 评论