Java Web安全-代码审计系列文章
这个Java代码审计系列是年前公司内部最后一次技术分享,开源到了Github(包含了代码和文章)也在凌天实验室公众号发布过,因为时间不够并未写完,年后若有时间会将剩下的部分完成。 Git地址: javaweb-codereview 文章地址: JavaSecureCodeReview...
阅读全文Security(80 篇文章)
一个绕Runtime、ProcessBuilder的linux-cmd.jsp
最近有人问怎么绕过ProcessBuilder的exec方法,所以就写了一个可以绕大部分WAF或者说RASP的jsp。原理很简单:直接反射java.lang.UNIXProcess类。 请求:http://localhost:8080/linux-cmd.jsp?str=ls -la Windows版懒得写,会的朋友自己动手稍微改下就可以了。 下载地址:linux-cmd.jsp.zip 再发一个...
阅读全文fastjson 远程代码执行漏洞
最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29或者更新版本。 官方公告:https://github.com/alibaba/fastjson/wiki/security_update_20170315 这个可能存在的远程代码执行漏洞产生的原因是fastjson反序列化json字符串为java对象的时候autoT...
阅读全文multipart/form-data PHP和Java通用的WAF绕过方法
依旧是multipart/form-data,去年的时候说道了利用PHP的特性去绕过WAF.轻松绕各种WAF的POST注入、跨站防御(比如安全狗) 原文简单的描述了PHP在处理POST请求的时候会解析multipart/form-data的内容。 那么这个multipart/form-data到底是个啥呢? 大概长成上面这样.HTML代码就更加简单了: <!DOCTYPE html> ...
阅读全文java reflect cmd
看了 @动后河 jsp上传cmd马却遇到防火墙的绕过方法,很久以前和 @xcoder 师傅搞过类似的东东。贴出我的执行CMD利用代码: import java.io.InputStream; import java.lang.reflect.Method; import java.util.Scanner; public class ReflectTest { public static Stri...
阅读全文app_feature web应用特征识别库
这是一个规则为json版的web应用特征识别库,直接导入mysql即可使用。数据来源http://fofa.so,有部分增减。 下载地址: /uploads/file/20170330/20170330092456_926.sql ...
阅读全文elasticsearch Snapshot And Restore缺陷利用
elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。 基础信息: 可以查看es节点信息,包括安装目录:http://localhost:9200/_nodes 未授权访问的elasticsearch(事实上绝大多数都没做访问授权)备份数据的时候存在一些小缺陷,可以用来进一步的获取权限。 参考es官方的索引快找和恢复文档(Sn...
阅读全文IP、域名、子域名TOP3000库
app_ip_lookup.sql这个直接是SQL文件数据量400W+。IP段来自https://db-ip.com/db/ IP经纬度数据来自http://dev.maxmind.com/geoip/legacy/geolite/ 国内数据来自http://ip.taobao.com/ IP数据变动太快,有点差异很正常。db-ip的IP段好像只划到了0-223.29.206.255 漏了些国内的...
阅读全文ASP.NET global.asax、httpHandlers、httpModules 后门
特别注意:需要特别小心配置任何一个误操作都可能导致网站彻底崩溃,对于新手操作危险系数很高。这里只是技术分享,请最好先在本地测试。如有发现BUG与我联系 :) 一:global.asax <%@ Application Language="C#" %> <script RunAt='server'> void Application_S...
阅读全文sqlplus.jar命令行下连接Mysql、SQLServer、Oracle小工具
使用了一个btc-ascii-table小工具,可以像mysql客户端一样方便的管理数据库。自带mysql、sqlserver2000、2005+、oracle数据库驱动,可以在命令行下直连这几种数据库。连接的时候需要自行指定对应的数据库的驱动URL哦,百度下jdbc或者参考我以前的文章。 交互shell方式: 直接执行命令方式: java -jar sqlplus.jar "com.mysql....
阅读全文