声明：不会Java。 参考：https://www.secpulse.com/archives/6203.html 下载mjet，https://github.com/mogwaisec/mjet 按照说明中的步骤： Copy the "MBean" folder ...

　　java本身提供了一种RPC框架——RMI（即Remote Method Invoke 远程方法调用），在编写一个接口需要作为远程调用时，都需要继承了Remote，Remote 接口用于标识其方法可以从非本地虚拟机上调用的接口，只有在“远程接口”（扩展 java.rmi.Remote 的接口 ...

0x00 前言 本来在复现solr的漏洞，后来发现这个漏洞是个通用的jmxrmi漏洞。 JMX是Java Management Extensions，它是一个Java平台的管理和监控接口。为什么要搞JMX呢？因为在所有的应用程序中，对运行中的程序进行监控都是非常重要的，Java应用程序也不例外 ...

2021-12-10日左右，java的log4j框架出现了一个大漏洞，对服务器案例引起了不小的影响，当然只对于log4j的日志使用者来说，如果你是spring框架，用的是logback，不存在这个问题。 RMI和JNDI RMI（Remote Method Invocation ...

0x01概述 XXE（外部实体注入）是XML注入的一种，普通的XML注入利用面比较狭窄，如果有的话也是逻辑类漏洞。XXE扩大了攻击面。 当允许引用外部实体时，就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 防御方法：禁用外部实体（PHP ...

Java RMI服务是远程方法调用（Remote Method Invocation）。它是一种机制，能够让在某个java虚拟机上的对象调用另一个Java虚拟机的对象的方法。 在Java Web中，很多地方都会用到RMI来相互调用。比如很多大型组织都会在后台部署一些Java应用，用于 ...

0x00 实验环境 攻击机：Ubuntu 靶场：vulfocus搭建的靶场环境 0x01 影响版本 使用nmap，探测到有java rmi服务的都可以测试一下： 0x02 漏洞复现 （1）访问存在的漏洞页面 （2）首先需要安装一下这个工具 ...

Java RMI服务是远程方法调用（Remote Method Invocation）。它是一种机制，能够让在某个java虚拟机上的对象调用另一个Java虚拟机的对象的方法。 在Java Web中，很多地方都会用到RMI来相互调用。比如很多大型组织都会在后台部署一些Java应用，用于 ...