安全客
之前就想过jndi注入能否实现回显,先看一遍jndi原理。
本文借鉴外国的安全研究员的第二个思路,写了Rasp hook InvokeRemoteMethod函数的代码修改为gadget。
JMX可以跨越一系列异构操作系统平台、系统体系结构和网络传输协议,灵活的开发无缝集成的系统、网络和服务管理应用。
CVE-2020-2555已爆出新的gadget细节了,打发打发时间试着写写POC。
当时weblogic爆出的最新的洞是2725那个RCE,想着能否找个RCE出来。
勋章成就
稿费总计 0
发表文章 5
参与讨论 8
关注
1
粉丝
5