前言

前段时间分析了JBoss 3873和4446端口下的反序列化，受影响的版本最晚已经是2011年发布的，而JBoss EAP 6.X及WildFly\JBoss AS 7.X等后续版本，它们反序列化相关的CVE就很少了。归根结底，是因为以上所说的后续版本弃用了原来的Remoting2协议，启用了Remoting3协议。本文以Remoting3的反序列化相关问题展开分析。

前言

Atlassian Confluence是企业广泛使用的wiki系统。2022年6月2日Atlassian官方发布了一则安全更新， Confluence上存在一个严重的未经身份验证的远程代码执行漏洞。OGNL注入漏洞允许未经身份验证的用户在Confluence Server或Data Center实例上执行任意代码。

前言

前段时间读了@Y4ar师傅分析JBoss的文章和《A little bit beyong \xAC\xED》的原文，起初简单的看下，以为是普通的反序列漏洞，后面经过分析才察觉是关于JBoss的Remoting2协议的漏洞。本文以JBoss AS 6.1.0.Final为例，主要分析与@Y4ar师傅稍有不同的一种反序列化触发方式。

前言

随着RASP技术的发展，普通webshell已经很难有用武之地，甚至是各种内存马也逐渐捉襟见肘。秉承着《JSP Webshell那些事——攻击篇（上）》中向下走的思路，存不存在一种在Java代码中执行机器码的方法呢？答案是肯定的，常见的注入方式有JNI、JNA和利用JDK自带的Native方法等，其中笔者还找到了一种鲜有文章介绍的，基于HotSpot虚拟机，且较为通用的注入方法。

RMI简介

Java远程方法调用，即Java RMI（Java Remote Method Invocation）是Java编程语言里，一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。它是由注册中心、服务端和客户端三部分组成。

• 注册中心

  作为存储远程方法的代理对象的仓库。

• 服务端

  暴露远程对象，并将其代理对象注册进 RMI Registry。一个代理对象在服务端中包含一个skeleton对象，用于接受来自stub对象的调用。

• 客户端

  查找远程代理对象，远程调用服务对象。一个代理对象在调用该远程对象的客户端上包含一个stub对象，负责调用参数和返回值的序列化、打包解包，以及网络层的通讯过程。

前言

2021 年 12 月 10 日，Apache发布了其 Log4j 框架的 2.15.0 版，其中包括对 CVE-2021-44228 的修复，这是一个影响 Apache Log4j 2.14.1 及更早版本的关键 (CVSSv3 10) 远程代码执行 (RCE) 漏洞。该漏洞存在于 Log4j 处理器处理特制日志消息的方式中。不可信的字符串（例如，来自输入文本字段的字符串，例如 Web 应用程序搜索框）包含的内容${jndi:ldap://example.com/a}，如果启用了消息查找替换，将触发远程类加载、消息查找和相关内容的执行。成功利用 CVE-2021-44228 可以让未经身份验证的远程攻击者完全控制易受攻击的目标系统。

前言

又来炒冷饭啦，做项目终于遇到个fastjson反序列化，但又不想贡献自己的VPS出来搭个JNDI，于是网上找个POC试了下。Duang的一下竟然成功了，执行命令还有回显，有点意思啊，于是开始炒冷饭了。

前言

fastjson反序列化，JAVA安全绕不过的坎。

前言

前段时间，涛哥安排了个Confluence站点的测试，网上搜了下存在模板注入可导致命令执行，编号CVE-2020-4027。网上没有复现的文章，直到要交报告了还是没成功执行命令，只能交个模板注入导致文件读取悻悻而归。这件事如鲠在喉，于是抽空搭个环境复现了下。

前言

内存马之前有接触过，在阿里SRC的宙斯活动中薅了点羊毛，但当时只是会用，不了解他的原理。本文通过调试的方法了解内存马的原理，并实现常见的几种内存马。