前言 今年七月份的时候SmartBi爆出来一个未授权rce,我就分析了一波,然后跟着继续挖了一下,挖到一些授权的xxe注入和后台rce,紧接着
前言 在审计某一产品时,全局搜索看到了这个xml反序列化,然后就单独拿出来研究了下,发现在18年slf4j-ext1.7.25以后版本中就直接
前言 对审计XXE注入总结的一些知识点,主要是方便自己看 解析XML的函数 审计时根据关键字全局搜索,在看是否禁用外部实现引用,最后在向上回溯是否
前言 年前一直在忙没时间写文章,最近不忙了看到opmanager爆出一个XXE注入,人麻了,想起来上次审计opmanager时爆了rce,也不
前言 最近在推特上看到有详情爆出来,就来分析学习一下 环境 引入jxpath依赖即可 1 2 3 4 5 <dependency> <groupId>commons-jxpath</groupId> <artifactId>commons-jxpath</artifactId> <version>1.3</version> </dependency> 漏洞分析 先来弹个计算器,利用的是Class
前言 最近在审计opmanager,正好爆了rce来学习一下 第一个RCE(CVE-2022-37024) 环境直接官网下载,一路下一步即可 漏洞描