CVE-2019-3799 Spring-Cloud-Config-Server 路径穿越/任意文件读取

Y4er 发布于 2020-06-05 收录于类别 Categories 和系列 Series

Spring的一些洞

Bypass JEP290

Y4er 发布于 2020-05-29 收录于类别代码审计和系列 Series

本文学习如何绕过JEP290反序列化限制

CVE-2020-9484 Tomcat Session Rce 复现分析

Y4er 发布于 2020-05-25 收录于类别代码审计和系列 Series

tomcat的rce，可惜不是默认配置。

BypassUAC With ICMLuaUtil

Y4er 发布于 2020-05-21 收录于类别渗透测试和系列 Series

本文主要讲述UACME项目中索引为41的ICMLuaUtil方法为例实现一个bypassuac，该方法原理在于调用COM组件中自动提权并且可以执行命令的接口。

Java 反序列化回显的多种姿势

Y4er 发布于 2020-05-16 收录于类别代码审计和系列 Series

聊一聊反序列化回显的问题

Win10利用应用商店WSReset.exe进行bypassuac

Y4er 发布于 2020-05-09 收录于类别渗透测试和系列 Series

遇到了win10的环境就找了下bypassuac的.

Java 表达式注入

Y4er 发布于 2020-05-08 收录于类别代码审计和系列 Series

jsp常用

Shiro rememberMe 反序列化分析

Y4er 发布于 2020-04-29 收录于类别代码审计和系列 Series

Shiro 550

正则写配置文件常见的漏洞

Y4er 发布于 2020-04-28 收录于类别代码审计和系列 Series

关于正则表达式的利用。

Fastjson 反序列化RCE分析

Y4er 发布于 2020-04-26 收录于类别代码审计和系列 Fastjson

fastjson反序列化RCE

通达OA前台任意用户伪造登录分析

Y4er 发布于 2020-04-24 收录于类别代码审计和系列 Series

通达OA又爆洞了

Javassist 学习

Y4er 发布于 2020-04-20 收录于类别代码审计和系列 Series

由上文引出的Javassist学习

Ysoserial Commonscollections 2

Y4er 发布于 2020-04-17 收录于类别代码审计和系列 Series

拖延症严重😂

Java XMLDecoder反序列化分析

Y4er 发布于 2020-04-13 收录于类别代码审计和系列 Series

XMLDecoder解析造成的问题

攻击Java中的JNDI、RMI、LDAP(二)

Y4er 发布于 2020-04-03 收录于类别代码审计和系列 Series

上文我简述了JNDI，本文我将演示如何攻击JNDI。