前言：jolokia logback JNDI RCE 漏洞學習筆記 在實戰中碰到的幾率還是有的，不過有時候不存在相關可利用的依賴，有時候不存在相關可利用的MBean，總是會覺得可惜... 這里不講述相關的jolokia的MBean使用方法，如果需要的話可以去學習下 參考文章：https ...

一、漏洞背景 　　/jolokia/list接口未授權利用 二、利用條件 　　jolokia接口暴露 　　spring使用了jolokia-core的依賴，並存在MBean 　　JDNI注入有版本限制 JDK< 6u201/7u191/8u182/11.0.1 （LDAP ...

日穿掃描掃到一個spring boot actuator 可以看到有jolokia這個端點，再看下jolokia/list，存在type=MBeanFactory 關鍵字 可以使用jolokia-realm-jndi-rce具體步驟如下 先用python3開一個web服務 編譯 ...

0x00 背景知識了解 JNDI 它的全稱就是Java Naming and DirectoryInterface Java命名和目錄接口，使用來為開發人查找和 訪問各種資源提供的統一通用接口。 它就是一組API接口，每個對象都有一組唯一的鍵值來綁定。 而將名字和對象綁定就可以 ...

Springboot use tomcat JNDI [use database pool : dbcp Druid bonecp C3P0 proxool] [1]apache-tomcat-9.0.0.M9\conf\context.xml <Context> ...

1、導入依賴 2、書寫配置類 配置類中的Realm需要自定義，在使用ini文件作為數據源的時候使用的是lniRealm，使用數據庫作為數據源的時候使用的是JdbcRealm，JdbcRealm中的數據庫的表名稱與表的字段名稱都是固定的。在使用 ...

判斷用戶是否是游客身份，如果是游客身份則顯示此標簽內容 一、Shiro認證流程 二、SpringBoot應用整合Shiro JavaSE應用中使用 web應用中使用 SSM整合Shiro(配置多，用的少 ...

shiro進行登錄認證和權限管理的實現。其中需求涉及使用兩個角色分別是：門店，公司。現在要兩者實現分開登錄。即需要兩個Realm——MyShiroRealmSHOP和MyShiroRealmCOMPANY，分別處理門店，公司的驗證功能。 但是正常情況下，當定義了多個Realm，無論是門店登錄 ...