每日一练
文章平均质量分 72
qq_42194976
路漫漫其修远兮,吾将上下而求索,自学之路不易,与君共勉,加油~
展开
-
log4j2远程代码执行漏洞复现
log4j2框架下的lookup查询服务提供了{}字段解析功能,传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。这样如果不对lookup的出栈进行限制,就有可能让查询指向任何服务(可能是攻击者部署好的恶意代码)。攻击者可以利用这一点进行JNDI注入,使得受害者请求远程服务来链接本地对象,在lookup的{}里面构造payload,调用JNDI服务(LDAP)向攻击者提前部署好的恶意站点获取恶意的.class对象,造成了远程代码执行(可反弹shell到指定服务器)。原创 2024-07-12 00:01:52 · 1010 阅读 · 0 评论 -
ensp综合实验
实验目的:1.实现pc自动获取ip。2.pc之间可以互相通信。3.pc1可以访问服务器,pc2无法访问服务器。4.pc1访问服务器时经过路由器源ip改变。使用的技术:nat,acl,vlan,dhcp。原创 2023-08-11 23:05:32 · 1289 阅读 · 1 评论