一、jolokia Realm JNDI RCE （1）.利用條件： 目標網站存在 /jolokia 或 /actuator/jolokia 接口 目標使用了 jolokia-core 依賴（版本要求暫未知）並且環境中存在相關 MBean 目標可以請求攻擊者的服務器（請求可出外網） 普通 ...

0x00 前言 Spring Boot框架是最流行的基於Java的微服務框架之一，可幫助開發人員快速輕松地部署Java應用程序，加快開發過程。當Spring Boot Actuator配置不當可能造成多種RCE，因為Spring Boot 2.x默認使用HikariCP數據庫連接池，所以可通過 ...

一、環境搭建 文件包含漏洞測試代碼 file.php session內容可控測試代碼 session.php 二、利用條件 1、session存儲位置可以獲取 可以通過phpinfo查看 也可以通過猜測，例如linux ...

0x01 簡介 PHP文件包含漏洞中，如果找不到可以包含的文件，我們可以通過包含臨時文件的方法來getshell。因為臨時文件名是隨機的，如果目標網站上存在phpinfo，則可以通過phpinfo來獲取臨時文件名，進而進行包含。 0x02 漏洞利用原理 在給PHP發送POST數據包時 ...

利用docker復現該漏洞，訪問http://192.168.80.156:8080/phpinfo.php，可以看到頁面出現phpinfo頁面 再訪問http://192.168.80.156:8080/lfi.php?file=/etc/passwd，可以看到該頁面是存在文件包含漏洞 ...

概述 在本文中，我們將介紹Spring Boot Actuator。我們將首先介紹基礎知識，然后詳細討論Spring Boot 1.x和2.x中的可用內容。 我們將在Spring Boot 1.x中學習如何使用，配置和擴展此監視工具。然后，我們將討論如何利用反應式編程模型使用Boot 2.x ...

Spring Boot Actuator / Swagger I'm working on Spring Boot application and i use Swagger for the documentation. I have adding Spring Boot ...

　　Spring Boot Actuator的關鍵特性是在應用程序里提供眾多Web端點，通過它們了解應用程序 運行時的內部狀況。有了Actuator，你可以知道Bean在Spring應用程序上下文里是如何組裝在一起的，掌握應用程序可以獲取的環境屬性信息，獲取運行時度量信息的快照 ...