xnuca2020 easyjava设计思路

ctf

0x00 前言

easyjava的设计思路主要来源于现实环境中遇到的一些问题,以及最近刚出的mybatis二级缓存反序列化的安全问题的一种设想。题目的设计目的主要考察选手对于实操性的漏洞的利用以及源码审计能力。

ctf

struts2历史漏洞分析

0x00 前言


17年的时候整理过struts2相关的POC,时隔3年,虽然struts2已经不再那么流行了,但是还是有很大的研究价值,本文将一点一点跟一下struts2 有价值的漏洞XD

vul

JNDI with LDAP

0x00 前言

JNDI的SPI层除了RMI外,还可以跟LDAP交互。与RMI类似,LDAP也能同样返回一个Reference给JNDI的Naming Manager,本文将讲述JNDI使用ldap协议的两个攻击面XD

vul

JNDI with RMI

0x00 前言

在现实环境中,遇到RMI Registry的机会很少,而结合反序列化漏洞的JNDI注入则常见了许多。本文将介绍RMI结合JNDI后可以做哪些事情XD

vul