Java
文章平均质量分 73
яаеил
这个作者很懒,什么都没留下…
展开
-
log4j2漏洞复现
如果攻击者通过构造一个恶意的rmi或ldap服务,使Log4j通过JNDI加载远程恶意资源,就可能导致攻击者在目标系统上执行任意代码。补充:攻击机的jdk版本如果太高可能会不成功,如果攻击机选择使用kali,kali里的jdk版本太高,rmi协议可能不成功,可以换ldap协议试一下。JNDI注入工具下载地址:https://github.com/welk1n/JNDI-Injection-Exploit。靶机为自己写的一个springboot demo。将项目打包成一个jar包,上传至一台服务器。原创 2023-12-26 22:02:09 · 499 阅读 · 1 评论 -
JNDI浅析
简单一些的理解 JNDI通常在客户端用于查找和获取远程对象的引用。而这一过程一般是通过一些协议来实现的,例如RMI和LDAP。原创 2023-12-26 20:38:10 · 435 阅读 · 1 评论