前言：jolokia logback JNDI RCE 漏洞学习笔记 在实战中碰到的几率还是有的，不过有时候不存在相关可利用的依赖，有时候不存在相关可利用的MBean，总是会觉得可惜... 这里不讲述相关的jolokia的MBean使用方法，如果需要的话可以去学习下 参考文章：https ...

一、漏洞背景 　　/jolokia/list接口未授权利用 二、利用条件 　　jolokia接口暴露 　　spring使用了jolokia-core的依赖，并存在MBean 　　JDNI注入有版本限制 JDK< 6u201/7u191/8u182/11.0.1 （LDAP ...

日穿扫描扫到一个spring boot actuator 可以看到有jolokia这个端点，再看下jolokia/list，存在type=MBeanFactory 关键字 可以使用jolokia-realm-jndi-rce具体步骤如下 先用python3开一个web服务 编译 ...

0x00 背景知识了解 JNDI 它的全称就是Java Naming and DirectoryInterface Java命名和目录接口，使用来为开发人查找和 访问各种资源提供的统一通用接口。 它就是一组API接口，每个对象都有一组唯一的键值来绑定。 而将名字和对象绑定就可以 ...

Springboot use tomcat JNDI [use database pool : dbcp Druid bonecp C3P0 proxool] [1]apache-tomcat-9.0.0.M9\conf\context.xml <Context> ...

1、导入依赖 2、书写配置类 配置类中的Realm需要自定义，在使用ini文件作为数据源的时候使用的是lniRealm，使用数据库作为数据源的时候使用的是JdbcRealm，JdbcRealm中的数据库的表名称与表的字段名称都是固定的。在使用 ...

判断用户是否是游客身份，如果是游客身份则显示此标签内容 一、Shiro认证流程 二、SpringBoot应用整合Shiro JavaSE应用中使用 web应用中使用 SSM整合Shiro(配置多，用的少 ...

shiro进行登录认证和权限管理的实现。其中需求涉及使用两个角色分别是：门店，公司。现在要两者实现分开登录。即需要两个Realm——MyShiroRealmSHOP和MyShiroRealmCOMPANY，分别处理门店，公司的验证功能。 但是正常情况下，当定义了多个Realm，无论是门店登录 ...