新一代IAST灰盒安全测试技术凭借其极高的检出精度、深度的业务透视能力及高度自动化CI/CD支持能力，正快速由行业头部用户的场景化探索实践向广大中小型用户规模化应用实践演进。由于其特殊的技...

之前开发中用过几次Spring boot，就觉得开发起来很方便。Spring boot的一个方便之处就是可以连同服务器直接打包成war包，到哪里直接当jar包运行就可以了。后来我就想到，联合java的另一个特性或...

Java反序列化漏洞从爆出到现在快2个月了，已有白帽子实现了jenkins，weblogic，jboss等的代码执行利用工具。本文对于Java反序列化的漏洞简述后，并对于Java反序列化的Poc进行详细解读。Java反序...

一、查找域控的几个常用方法1.net viewnet view /domain2.set logset log3.通过srv记录nslookup -type=SRV _ldap._tcp.corp4.使用nltestnltest /dclist:corp5.使...

这是 酒仙桥六号部队 的第 9 篇文章。全文共计2423个字，预计阅读时长8分钟。前言本文内容是笔者一次从0到1的实战记录，通过一次完整的外网到内网到拿下域控的过程，来为大家带...

这是 酒仙桥六号部队 的第 122 篇文章。全文共计3455个字，预计阅读时长10分钟。前言无论是红队项目还是渗透项目，打点的过程总是充斥着不确定性的，在一个攻击面上充满着各种可...

0X00 前言Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本，而在.Net领域也有一个Fastjson的库，作者官宣这是一个读写Json效率最高的的.Net 组件，使用内置方法JSON.ToJSON可以快速序...

Spring Security 5.1.4 RELEASE对于使用Java进行开发的同学来说，Spring算是一个比较热门的选择，包括现在流行的Spring Boot更是能快速上手，并让开发者更好的关注业务核心的开发，而免去了原来...

1.漏洞信息1.1 漏洞简介漏洞名称：Fastjson 1.2.24远程代码执行漏洞（com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl）漏洞编号：无漏洞类型：远程代码执行CVSS评分：无漏洞危害...

红队-java代码审计生命周期@深信服-华南天玄攻防战队-KBAT前言红队java代码审计生命周期中常见的一些漏洞学习总结以及一些审计思路。红队-java代码审计生命周期过程源码获取->审计环境配置-&...