信安之路培训课程

信安之路培训课程

  • 简介
  • 目录大纲
  • 最新文档

    JC004 Tomcat-Valve型内存马

    参考文章 https://su18.org/post/memory-shell/#tomcat-valve-%E5%86%85%E5%AD%98%E9%A9%AC 引子 实际上在我们调试Tomcat-Filter型内存马的时候,我们查看调用栈会发现一些有趣的东西: 我们会发现这里存在一堆的invoke方法的调用,那么这些Valve究竟是什么呢? Valve与Pipeline Tomcat ……

    myh0st - 2024年10月28日 17:59

    JC003 Tomcat-Servlet型内存马

    参考文章 https://blog.csdn.net/angry_program/article/details/118492214 https://www.jianshu.com/p/ed74f6e1cbdb Tomcat与Servlet 要想了解如何动态注册Servlet,我们需要对tomcat有一个更好的认识: Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,Tomca……

    myh0st - 2024年10月28日 17:55

    JC002 Tomcat-Listener型内存马

    参考文章 http://wjlshare.com/archives/1651 Tomcat-Listener Listener(监听器)就是一个实现特定接口的普通java程序,这个程序专门用于监听另一个java对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即被执行。Listener常用于GUI应用程序中,我们的内存马主要涉及到的是ServletRequestListe……

    myh0st - 2024年10月28日 17:53

    JC001 Tomcat-Filter型内存马

    参考文章 http://wjlshare.com/archives/1529 Tomcat-Filter filter顾名思义就是过滤器的意思,在tomca中我们可以通过自定义过滤器来做到对用户的一些请求进行拦截修改等操作: 我们的请求会在经过Servlet之前先经过filter,那么如果我们动态创建一个filter并将其放在最前面,并在这个filter中放入恶意代码,当我们访问Servle……

    myh0st - 2024年10月28日 17:51

    第五部分 JAVA 内存马基础

    关于漏洞利用最后一步,打入内存马

    myh0st - 2024年10月28日 17:46

    JC005 RMI

    我们知道RMI在整个调用流程时都会出现序列化和反序列化,那么我们就可以从中利用反序列化漏洞 攻击方法 服务端攻击注册中心 当服务端在bind时,实际上也是向注册中心序列化传输对象,注册中心再将其反序列化,那么我们就可以利用这个漏洞来攻击注册中心(JEP 290之前)。 注册中心代码: ``` package top.longlone.RMIStudy; import java.rmi.Remote……

    myh0st - 2024年10月28日 17:45

    JC004 OGNL

    maven导入 <dependency> <groupId>ognl</groupId> <artifactId>ognl</artifactId> <version>3.1.19</version> </dependency> 基本语法 对Root对象的访问 User user……

    myh0st - 2024年10月28日 17:42

    JC003 JRMP

    Java远程方法协议(英语:Java Remote Method Protocol,JRMP)是特定于Java技术的、用于查找和引用远程对象的协议。这是运行在Java远程方法调用(RMI)之下、TCP/IP之上的线路层协议(英语:Wire protocol)。 JRMP全称为Java Remote Method Protocol,也就是Java远程方法协议,通俗点解释,它就是一个协议,一个在TCP……

    myh0st - 2024年10月28日 17:41

    JC002 JNDI

    参考文章 https://paper.seebug.org/1091/ https://xz.aliyun.com/t/10674 https://www.cnblogs.com/wk-missQ1/p/13138720.html https://cloud.tencent.com/developer/article/1441354 JNDI JNDI (Java Naming and Dir……

    myh0st - 2024年10月28日 17:40

    JC001 JDBC

    什么是JDBC JDBC一般指Java数据库连接。Java数据库连接,(Java Data Base Connectivity,简称JDBC) 是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 一个简单的示例如下: ``` ……

    myh0st - 2024年10月28日 17:39

    myh0st