File tree Expand file tree Collapse file tree 2 files changed +10
-4
lines changed Open diff view settings
Expand file tree Collapse file tree 2 files changed +10
-4
lines changed Open diff view settings
Original file line number Diff line number Diff line change 4040
4141第一种是` TemplatesImpl ` 类加载字节码做到不出网利用,但需要开启特殊参数实战鸡肋
4242
43- 第二种方式是服务端存在在` tomcat### dbcp.jar ` 情况下,使用` BasicDataSource ` 配合` BCEL ` 可实现不出网` RCE `
43+ 第二种方式是服务端存在在` tomcat- dbcp.jar ` 情况下,使用` BasicDataSource ` 配合` BCEL ` 可实现不出网` RCE `
4444
4545
4646
@@ -89,7 +89,7 @@ Fastjson默认会去除键值外的空格、\b、\n、\r、\f等字符,同时
8989``` json
9090{
9191 "regex" :{
92- "$ref" :" $[\b lue = /\^ [a###zA### Z]+(([a###zA### Z ])?[a###zA### Z]*)*$/]"
92+ "$ref" :" $[\b lue = /\^ [a-zA- Z]+(([a-zA- Z ])?[a-zA- Z]*)*$/]"
9393 },
9494 "blue" :" aaaaaaaaaaaaaaaaaaaaaaaaaaaa!"
9595}
@@ -114,6 +114,6 @@ Fastjson默认会去除键值外的空格、\b、\n、\r、\f等字符,同时
114114
115115简单来说,直接搜对应项目中` JNDI ` 的` lookup ` 方法,可以基于` ASM ` 解压分析` Jar ` 包,这种半自动结合人工审核的方式其实很好用(之前挖到过几个)
116116
117- 进一步来说,全自动的方式可以使用` codeql ` 或` gadget### inspector ` 工具来做,主要是加入了污点传递,分析` getter/setter ` 参数如何传递到` lookup `
117+ 进一步来说,全自动的方式可以使用` codeql ` 或` gadget- inspector ` 工具来做,主要是加入了污点传递,分析` getter/setter ` 参数如何传递到` lookup `
118118
119119关闭全自动分析原理,一般面试官不会问太深入,因为可能涉及到静态分析相关的技术,普通安服崽的面试不会太过深入,如果是实验室可能需要再学习一下
Original file line number Diff line number Diff line change @@ -97,4 +97,10 @@ Java Agent内存马:这种方式不仅限于`Tomcat`或`Spring`
9797
9898可以从常见的类名入手:Requst、ServletRequest、RequstGroup、RequestInfo、RequestGroupInfo等等
9999
100- 可以参考c0ny1师傅的` java-object-searcher ` 项目,半自动搜索` request ` 对象
100+ 可以参考c0ny1师傅的` java-object-searcher ` 项目,半自动搜索` request ` 对象
101+
102+
103+
104+ ### 是否了解Spring Cloud Gateway如何注入内存马(★★★★)
105+
106+ 参考` c0ny1 ` 师傅的文章,由于` Spring Cloud Gateway ` 并不基于` Tomcat ` 而是基于` Netty ` 框架,需要构造一个` handler ` 用作内存马。另外的思路是构造上层的内存马,也就是基于` Spring ` 的内存马,向` RequestMappingHandlerMapping ` 中注入新的映射。具体代码使用到了` Sping ` 的一些工具类,在` SPEL ` 中反射调用了` defineClass ` 以达到执行代码的效果
You can’t perform that action at this time.
0 commit comments