标签:shell

Java

泛微e-cology OA远程代码执行分析

5

songhua.gao 发布于 2019-09-20

0x01 通告 2019年9月17日,泛微OA更新了一个安全问题,修复了一个远程代码执行漏洞。 0x02 漏洞描述 泛微e-cology OA系统存在java Beanshell接口,且可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安...

阅读(28)评论(0)赞 (0)

Java

冰蝎动态二进制加密WebShell特征分析

14

xiaoli.wang 发布于 2019-09-20

概述 冰蝎一款新型加密网站管理客户端,在实际的渗透测试过程中有非常不错的效果,能绕过目前市场上的大部分WAF、探针设备。本文将通过在虚拟环境中使用冰蝎,通过wireshark抓取冰蝎通信流量,结合平时在授权渗透中使用冰蝎马经验分析并总结特征。 版本介绍 目前冰蝎已经迭代6个版本 ...

阅读(5)评论(0)赞 (0)

Java

Spring — Docker

2

yeseng 发布于 2019-09-18

容器是 应用层的抽象 ,是标准化的单元,容器内部不包含 操作系统 的细节和内容,比虚拟机 轻量 Docker 开发:简化开发环境的搭建; 运维 :交付系统更为流畅,伸缩性更好 常用命令 镜像相关 docker search <image> docker pull &l...

阅读(12)评论(0)赞 (0)

Java

【漏洞复现】Shiro RememberMe 1.2.4 反序列化命令执行漏洞

12

yanxinchi 发布于 2019-09-18

0x00 影响版本 Apache Shiro <= 1.2.4 0x01 原因分析 Apache Shiro默认使用了 CookieRememberMeManager ,其处理cookie的流程是:得到 rememberMe的cookie值 >   Base...

阅读(12)评论(0)赞 (0)

Java

Java编程语言环境OpenJDK 13发布:龙芯贡献全球前5

3

likai 发布于 2019-09-18

OpenJDK开源社区发布了Java编程语言环境的最新版本OpenJDK 13,与上个版本JDK 12相比添加了5个新特性(JEP),具体包括: JEP 350 – Dynamic CDS Archives JEP 351 – ZGC: Uncommit Unused Memor...

阅读(13)评论(0)赞 (0)

Java

Java 开发环境配置

3

darida 发布于 2019-09-17

window 系统 安装java 下载JDK 首先我们需要下载java开发工具包JDK,下载地址: http://www.oracle.com/technetwork/java/javase/downloads/index.html ,点击如下下载按钮: 下载后JDK的安装根据提...

阅读(16)评论(0)赞 (0)

Java

Java 配 Shell 等于美酒加咖啡

5

songhua.gao 发布于 2019-09-17

【这是一猿小讲的第  51  篇原创分享】 化学中我们得知「氢气加氧气在点燃的情况下会生成水」。 生活中我们得知「良辰加美景的情况下会得到千金春宵一刻」。 技术上又何尝不是如此呢?先假设一个场景:BOSS 让你实现一个服务监控的指挥室,能看到每个服务器的磁盘剩...

阅读(13)评论(0)赞 (0)

编程技术

透过现象看本质: 常见的前端架构风格和案例

21

刘莉莉 发布于 2019-09-17

所谓软件架构风格,是指描述某个特定应用领域中系统组织方式的惯用模式。架构风格定义一个词汇表和一组约束,词汇表中包含一些组件及连接器,约束则指出系统如何将构建和连接器组合起来。软件架构风格反映了领域中众多系统所共有的结构和语义特性,并指导如何将系统中的各个模块和子系统有机的结合为一...

阅读(12)评论(0)赞 (0)

Java

环境变量那些事儿

xiaoli.he 发布于 2019-09-17

一直以来,配置环境变量的时候都是管中窥豹,对于环境变量的配置似懂非懂。 现在就来认真补一补这方面的不足。 主要内容包括: HOME 为什么需要$,直接打印HOME不行吗? 一个系统下只有一个HOME变量吗? 如何override系统自定义的HOME变量? 可以在bash中直接通过...

阅读(16)评论(0)赞 (0)

Java

SBT无痛入门指南 原 荐

5

yeseng 发布于 2019-09-17

SBT   是 Scala 的构建工具,全称是 Simple Build Tool, 类似 Maven 或 Gradle。 SBT 的野心很大,采用Scala编程语言本身编写配置文件,这使得它稍显另类,虽然增强了灵活性,但是对于初学者来说同时也增加了上手难度。另外由于S...

阅读(13)评论(0)赞 (0)

编程技术

【大咖连载】服务设计与实现

6

songhua.gao 发布于 2019-09-16

更多精彩内容请关注我们 服务设计会影响到业务需求是否被正确、高效地实现,良好的服务设计能够帮助领域专家与开发人员之间,以及团队内部进行高效、准确的沟通。良好的实现则能缩短服务上线的周期,并提升可扩展性及可维护性。 在微服务架构设计的过程中,架构设计、接口设计需要和代码库一样,使用...

阅读(24)评论(0)赞 (0)

Java

玩转Ysoserial-CommonsCollection的七种利用方式分析

33

xiaoli.he 发布于 2019-09-16

引言 CommonsCollection在java反序列化的源流中已经存在了4年多了,关于其中的分析也是层出不穷,本文旨在整合分析一下ysoserial中CommonsCollection反序列化漏洞的多种利用手段,从中探讨一下漏洞的思路,并且对于ysoserial的代码做一下普...

阅读(12)评论(0)赞 (0)

Java

DevOps平台

10

changyuan.xu 发布于 2019-09-15

DevOps定义(来自维基百科): DevOps(Development和Operations的组合词)是一种重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程,来使得构建、测试、发布软件能够更...

阅读(14)评论(0)赞 (0)

Spring

Spring — MyBatis

hanze 发布于 2019-09-15

MyBatis是一款优秀的持久层框架 MyBatis支持 定制化SQL、存储过程和高级映射 JPA Or MyBatis JPA:数据操作都比较简单 MyBatis:DBA需要对SQL进行审核,复杂SQL Spring + MyBatis MyBatis Spring Adapt...

阅读(12)评论(0)赞 (0)

Java

Jenkins RCE漏洞分析汇总

56

Harries 发布于 2019-09-15

之前针对Jenkins没注意看过,看到廖师傅kcon会议上讲的Java沙箱逃逸就涉及到了Jenkins,包括今年开年时候orange发的Jenkins的组合拳,拖拖拉拉到了年底还没看,所以准备开始看。 这里根据Jenkins的漏洞触发点做了一个归类,一种是通过cli的方式触发,一...

阅读(43)评论(0)赞 (0)

Java

Hook的新大陆:frida

8

likai 发布于 2019-09-14

frida 几个月前就关注了,无奈当时连环境都搭建不起来。 这次下定决心体验了一把 frida ,感觉像是发现了新大陆一样,不信你继续看~ frida跟xposed对比: xposed:root + xposed环境 + 写xposed模块 frida:root + 写js脚本 ...

阅读(18)评论(0)赞 (0)

Java

java in a Nutshell <2-6>

1

changyuan.xu 发布于 2019-09-12

数据隐藏和封装: 可以将类看作是数据和方法的集合 面向对象 访问控制: 定义访问控制在类的外部调用类中的成员 public,protected, private是控制访问的修饰符 访问模块: 模块是java9中引入的新的概念 访问包: 包层次的访问控制,不是java语言的直接部分...

阅读(16)评论(0)赞 (0)