-
一、什么是 RMIRMI是远程方法调用,RMI技术可以使一个java虚拟机中的对象去调用另一个java虚拟中的对象方法并获取调用结果。也就是说RMI实现了客户端调用服务端的对象方法像调用本地的对象方法。
二、RMI原理分析既然是解决远程调用的问题,那...
-
一、前言在前面我们分析了shiro打CC依赖,但是shiro默认是没有CommonCollections依赖的,那么如果没有CC依赖我们想要进行利用,就有使用shiro默认的依赖去打。
那我们这里可以先看一下shiro默认的依赖有那些:
我们可以看...
-
一、前言在之前的buu月赛中,遇到了一道使用jackson依赖打内存马的题,由于并没有学习过jackson反序列化漏洞,这里对这个漏洞进行学习,以便于后面的题目复现。
二、关于jacksonJava生态圈中有很多处理JSON和XML格式化的类库, 常...
-
一、环境搭建靶机镜像下载地址:https://www.vulnhub.com/entry/nezuko-1%2C352/
然后设置虚拟机名和存储位置
设置网络适配器为nat模式
然后启动虚拟机就可以了。
二、信息收集发现存活主机
我们可以得到...
-
shiro反序列化打CC依赖一、前言在前面分析shiro反序列化漏洞原理的时候,我们是使用了URLDNS这条利用链进行了测试,最终成功解析了DNS地址,验证了shiro的反序列化漏洞。但是URLDNS这条利用链只能验证存在反序列化漏洞,不能造成真正的...
-
一、信息收集主机发现使用arp协议扫描网段存活主机
1arp-scan -l
发现目标主机ip 192.168.113.166
端口扫描1nmap -sV 192.168.113.166
根据端口扫描可以开放了22和80端口
二、漏洞挖掘与利...
-
一、关于shiroshiro是一种开源的java安全框架。它提供了身份验证(Authentication)、授权(Authorization)、加密(Cryptography)和会话管理(Session Management)等安全功能,用于保护We...
-
一、靶机搭建靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/
下载得到是一个ova文件
我们这里直接导入就行
设置靶机名字和虚拟机存放位置
然后直接启动虚拟机就可以了
二、信息收集靶机发现因为目标靶机...
-
DC-3靶机打靶记录一、环境搭建靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/
下载得到是一个ova文件
我们这里直接导入就行
设置靶机名字和虚拟机存放位置
报错解决:
在我们启动靶机的时候可能会遇...
-
一、漏洞平台搭建我们下载得到的是一个ova后缀的文件,OVA 文件是一种打包格式,它将虚拟机的相关文件(如虚拟磁盘映像、虚拟机配置信息、操作系统镜像等)打包成一个单独的文件,以便于传输、分享和部署虚拟机。
我这里可以直接导入这个靶场
通过打开我们下...