无字母数字rce(ctfshow web55)
刷题过程中发现一个比较有意思但不知道的一种手法
Java反射
Java反射在学习这种语言基础时,一定要要动手去写一些demo,不要只停留在看的层面 所以我写这篇博客的主要目的就是想要更直观的去了解Java反射,比较适合新手小白入门 正射反射之中包含了一个「反」字,所以想要解释反射就必须先从「正」开始解释。 正射就是在编写代码时当需要使用到某一个类的时候,我们要先了解这个类是做什么的,然后实例化这个类,接着用实例化好的对象进行操作。 1234567891011
JAVA安全之URLDNS链
JAVA安全之URLDNS链一个对于新手非常友好的链子,不是很复杂 12345* Gadget Chain:* HashMap.readObject()* HashMap.putVal()* HashMap.hash()* URL.hashCode() 利用效果是发起一次远程请求,而不能去执行命令。基本上是用来测试是否存在反序列化漏洞的
Java反序列化CC1链
Java反序列化CC1链背景介绍Apache Commons是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。 Commons Collec
CVE-2024-32002漏洞复现
CVE-2024-32002漏洞复现漏洞概况CVE-2024-32002 是在 Git 软件中发现的一个严重安全漏洞。该漏洞允许远程攻击者通过特制的 Git 仓库在受影响的系统上执行任意代码。此漏洞存在于 Git 处理特定仓库操作的过程中,由于缺乏对输入数据的充分验证,导致了远程代码执行(RCE)的风险。当用户使用管理员权限执行git clone克隆一个恶意仓库时,git中存在的漏洞会触发远程代码
第二届帕鲁杯应急响应——畸形的爱
第二届帕鲁杯应急响应——畸形的爱提交攻击者ip1查看webserver的nginx日志 123456789(Nginx 日志是 Nginx Web 服务器记录的运行数据,用于监控访问行为、排查错误、分析流量和调试问题。)存在访问日志和错误日志访问日志记录每个请求的信息,包括访问者 IP、访问时间、请求方式、状态码、请求资源等(默认路径/var/log/nginx/access.log)错误日志记录