- 博客(6)
- 收藏
- 关注
RSS订阅原创 rmi高版本绕过总结
本文分析了Java RMI(远程方法调用)注册表的安全漏洞及其利用方式,重点介绍了白名单绕过、SSRF攻击和反序列化漏洞。RMI注册表作为命名服务,通过bind/lookup等关键方法实现远程对象调用,但其反序列化过程中存在安全风险,特别是8u19以下版本的漏洞可导致远程代码执行。文章详细阐述了绕过RMI注册表白名单过滤器的技术原理,利用白名单允许的类构建gadget链触发JRMP连接,并通过SSRF实现对内部RMI服务的攻击。此外,还分析了Apache JMeter的RMI反序列化漏洞,该漏洞源于JMet
2025-11-04 15:07:41
550
原创 java环境下sql注入代码审计
本文针对JavaWeb应用中的SQL注入风险,系统介绍了审计方法与防范措施。主要内容包括:1)审计准备工作,如依赖扫描和环境评估;2)输入流追踪技术,从查询接口逆向识别非参数化路径;3)具体审计要点,涵盖JDBC(Statement与PreparedStatement)、JPA/Hibernate和MyBatis等框架的风险点与最佳实践。核心建议是优先采用参数化查询,慎用转义函数作为补充,并集成自动化扫描工具。通过深度防御策略(如CI/CD集成、WAF和最小权限)可显著降低SQL注入风险。
2025-10-29 19:36:08
676
原创 漫画爬虫(无反爬)
自己改url可以在测试网站上爬取不同漫画,自行修改存储路径。写到爬取章节之后就没写了,效果大概是这样。学了一点写了个脚本练练手,测试网站为。
2025-08-17 15:05:24
1428
原创 CTF出web题docker怎么写
还是先简单讲一下docker是什么。首先,由于每道题所需的环境不同,又要相对隔离,导致了如果是直接部署在服务器上,很容易影响到服务器本身,所以我们需要docker来快速搭建一个完整的环境。但是注意了,linux环境下想起一个windows的docker比较困难,一般都是起的linux系统的docker,所以写题目要注意结构要模拟在linux环境下。至于怎么下载docker,包括换源之类的就不赘述了。
2025-04-22 11:43:02
2302
1原创 对于Procmon破坏杀软程序的利用方法和问题的分析
针对实操有两个比较严重的问题,ProcMon这个东西产生日志的量比想象中大很多,虚拟机和物理机中的实验都有这个现象,而且不是一般的大,像物理机里面开关机一次会产生十几个GB的日志文件,这点总体上来讲是令我非常疑惑的。第二个是win defender的关键程序不止MsMpEng.exe,还有WdFilter.sys,这两个程序功能上相辅相成又相互独立,WdFilter.sys在MsMpEng.exe被破坏掉的情况下还可以独立运行,那么如果要同时破坏这两个程序就有可能蓝屏(还是操作时间的问题)。
2025-03-13 21:52:43
1798
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人