聲明：不會Java。 參考：https://www.secpulse.com/archives/6203.html 下載mjet，https://github.com/mogwaisec/mjet 按照說明中的步驟： Copy the "MBean" folder ...

　　java本身提供了一種RPC框架——RMI（即Remote Method Invoke 遠程方法調用），在編寫一個接口需要作為遠程調用時，都需要繼承了Remote，Remote 接口用於標識其方法可以從非本地虛擬機上調用的接口，只有在“遠程接口”（擴展 java.rmi.Remote 的接口 ...

0x00 前言 本來在復現solr的漏洞，后來發現這個漏洞是個通用的jmxrmi漏洞。 JMX是Java Management Extensions，它是一個Java平台的管理和監控接口。為什么要搞JMX呢？因為在所有的應用程序中，對運行中的程序進行監控都是非常重要的，Java應用程序也不例外 ...

2021-12-10日左右，java的log4j框架出現了一個大漏洞，對服務器案例引起了不小的影響，當然只對於log4j的日志使用者來說，如果你是spring框架，用的是logback，不存在這個問題。 RMI和JNDI RMI（Remote Method Invocation ...

0x01概述 XXE（外部實體注入）是XML注入的一種，普通的XML注入利用面比較狹窄，如果有的話也是邏輯類漏洞。XXE擴大了攻擊面。 當允許引用外部實體時，就可能導致任意文件讀取、系統命令執行、內網端口探測、攻擊內網網站等危害。 防御方法：禁用外部實體（PHP ...

Java RMI服務是遠程方法調用（Remote Method Invocation）。它是一種機制，能夠讓在某個java虛擬機上的對象調用另一個Java虛擬機的對象的方法。 在Java Web中，很多地方都會用到RMI來相互調用。比如很多大型組織都會在后台部署一些Java應用，用於 ...

0x00 實驗環境 攻擊機：Ubuntu 靶場：vulfocus搭建的靶場環境 0x01 影響版本 使用nmap，探測到有java rmi服務的都可以測試一下： 0x02 漏洞復現 （1）訪問存在的漏洞頁面 （2）首先需要安裝一下這個工具 ...

Java RMI服務是遠程方法調用（Remote Method Invocation）。它是一種機制，能夠讓在某個java虛擬機上的對象調用另一個Java虛擬機的對象的方法。 在Java Web中，很多地方都會用到RMI來相互調用。比如很多大型組織都會在后台部署一些Java應用，用於 ...