jndi注入

脸红ฅฅ*的思春期1 个月前
java·安全·log4j·fastjson·jndi注入
Java安全—log4j日志&FastJson序列化&JNDI注入log4j和fastjson都是这几年比较火的组件,前者是用于日志输出后者则是用于数据转换,今天我们从源码来说一下这两个组件为何会造成漏洞。
Tr0e6 个月前
log4j·fastjson·jndi注入
从Log4j和Fastjson RCE漏洞认识jndi注入接着前文的学习《Java反序列化漏洞与URLDNS利用链分析》,想了解为什么 Fastjson 反序列化漏洞的利用与 JNDI 注入相关?同时发现著名的 Log4j 任意代码执行漏洞也是基于 JNDI 注入,于是通过 Fastjson 反序列化漏洞(CVE-2017-18349)和 Log4j RCE(CVE-2021-44228)两个著名的 CVE 漏洞,来学习下 Java JNDI 注入的原理以及在漏洞利用中的使用。
Ch4ser1 年前
log4j·fastjson·jndi注入·java安全
JNDI注入&Log4j&FastJson&白盒审计&不回显处理目录0x00 前言0x01 Maven 仓库及配置0x02 JNDI 注入简介0x03 Java-第三方组件-Log4J&JNDI
七天啊1 年前
mongodb·hack the box·jndi注入·cve-2021-44228
HackTheBox-Starting Point--Tier 2---Unified1.端口扫描2.访问8080端口页面跳转到:https://10.129.96.149:8443/manage/account/login?redirect=%2Fmanage   观察到版本号为unifi 6.4.54   3.搜索Unifi 6.5.54是否存在相关漏洞
合天网安实验室1 年前
kafka·漏洞复现·漏洞修复·jndi注入
Kafka JNDI 注入分析(CVE-2023-25194)Apache Kafka 是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect 是一种用于在 kafka 和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于 SASL JAAS 配置和 SASL 协议的任意 Kafka 客户端,对 Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行 JNDI 注入来实现远程代码执行。