随着各种JAVA指定环境RCE漏洞的出现,Java Web的安全逐渐被人们所重视,与漏洞相关的还有用于后期维持权限的Webshell。与PHP不同的是,JSP的语言特性较为严格,属于强类型语言,并且在JDK9以前并没有所谓的eval函数。一般而言JSP的变形免杀较为困难,但是依旧存在很多的”黑魔法”。
上一篇
CVE-2020-26945 Mybatis远程代码执行漏洞复现
一、简介MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code,并且改名为MyBatis。MyBatis是一款优秀的持久层框
2020-12-24
下一篇
JavaSec rmi利用分析
在《JavaSec JNDI注入利用分析》中JNDI支持访问多种命名与目录服务,其中就有利用RMI达成RCE的目的。RMI(Remote Method Invocation)远程方法调用可以类比RPC,这里将以下要点总结RMI的利用原理:
2020-12-04