技术栈
jndi注入
Tr0e
5 个月前
log4j
·
fastjson
·
jndi注入
从Log4j和Fastjson RCE漏洞认识jndi注入
接着前文的学习《Java反序列化漏洞与URLDNS利用链分析》,想了解为什么 Fastjson 反序列化漏洞的利用与 JNDI 注入相关?同时发现著名的 Log4j 任意代码执行漏洞也是基于 JNDI 注入,于是通过 Fastjson 反序列化漏洞(CVE-2017-18349)和 Log4j RCE(CVE-2021-44228)两个著名的 CVE 漏洞,来学习下 Java JNDI 注入的原理以及在漏洞利用中的使用。
Ch4ser
1 年前
log4j
·
fastjson
·
jndi注入
·
java安全
JNDI注入&Log4j&FastJson&白盒审计&不回显处理
目录0x00 前言0x01 Maven 仓库及配置0x02 JNDI 注入简介0x03 Java-第三方组件-Log4J&JNDI
七天啊
1 年前
mongodb
·
hack the box
·
jndi注入
·
cve-2021-44228
HackTheBox-Starting Point--Tier 2---Unified
1.端口扫描2.访问8080端口页面跳转到:https://10.129.96.149:8443/manage/account/login?redirect=%2Fmanage 观察到版本号为unifi 6.4.54 3.搜索Unifi 6.5.54是否存在相关漏洞
合天网安实验室
1 年前
kafka
·
漏洞复现
·
漏洞修复
·
jndi注入
Kafka JNDI 注入分析(CVE-2023-25194)
Apache Kafka 是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect 是一种用于在 kafka 和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于 SASL JAAS 配置和 SASL 协议的任意 Kafka 客户端,对 Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行 JNDI 注入来实现远程代码执行。