Learning Man's Blog

Learning Man's Blog

it's better to burn out than to fade away

Web(CTF)中的密码学 (一)

自从大学考试后感觉密码学就不知道丢到哪里了,随着打比赛还是要有点知识储备才好0_0

P.S. 为了启用 mathjax 导致 prismjs 渲染出现问题,debugging修复中…

Abusing MySQL Clients 学习

在 DDCTF 中这道题开始并没有做出来,跟着学习一下漏洞的原理以及自写Poc,感觉虽然有些老了,但是还是有很多姿势可以利用。

JNDI/LADP 学习

反序列化漏洞是直接进行RCE,基于JNDI的反序列化利用是Java代码注入

简介

RMI

Remote Method Invocation 是专为Java环境设计的远程方法调用机制,远程服务器实现具体的Java方法并提供接口,客户端本地仅需根据接口类的定义,提供相应的参数即可调用远程方法。RMI依赖的通信协议为JRMP(Java Remote Message Protocol ,Java 远程消息交换协议),该协议为Java定制,要求服务端与客户端都为Java编写。这个协议就像HTTP协议一样,规定了客户端和服务端通信要满足的规范。在RMI中对象是通过序列化方式进行编码传输的。

JNDI

JNDI即Java Naming and Directory Interface,翻译成中文就Java命令和目录接口,2016年的blackhat大会上web议题重点讲到,JNDI提供了很多实现方式,主要有RMI,LDAP,CORBA等。

Fastjson 反序列化漏洞研究

许久许久前在打 CTF 时候遇到的,这里重新记录下初级利用,更多姿势正在温习中~

0x01 简介

fastjson是一个java编写的高性能功能非常完善的JSON库,应用范围非常广,在github上star数都超过8k,在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。

SMTP 25 端口测试记录

之前没开博客,现在会对一些漏洞以及组合利用做一些笔记,今天刚好遇到了邮件伪造,记录一下

avatar
Sariel.D
天雨虽宽,不润无根之草