- 博客(4)
- 收藏
- 关注
RSS订阅原创 log4j2远程代码执行漏洞复现
log4j2框架下的lookup查询服务提供了{}字段解析功能,传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。这样如果不对lookup的出栈进行限制,就有可能让查询指向任何服务(可能是攻击者部署好的恶意代码)。攻击者可以利用这一点进行JNDI注入,使得受害者请求远程服务来链接本地对象,在lookup的{}里面构造payload,调用JNDI服务(LDAP)向攻击者提前部署好的恶意站点获取恶意的.class对象,造成了远程代码执行(可反弹shell到指定服务器)。
2024-07-12 00:01:52
1257
原创 Linux简单搭建WEB项目
4.打开浏览器输入http://192.168.XX.XX ,局域网访问,httpd默认是80端口,访问时候无需加端口。注意,如没有出现这个页面,可能是防火墙问题,输入以下命令可以关闭防火墙(centos8)2.安装完成查看版本信息,出现以下版本信息表示安装成功。1.安装httpd,输入命令,出现y/N,输入y。
2023-11-08 20:26:04
104
1
原创 ensp综合实验
实验目的:1.实现pc自动获取ip。2.pc之间可以互相通信。3.pc1可以访问服务器,pc2无法访问服务器。4.pc1访问服务器时经过路由器源ip改变。使用的技术:nat,acl,vlan,dhcp。
2023-08-11 23:05:32
1927
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人