Blog Articles

• log4j2+jndi注入远程类攻击原理

  原理 log4j2在版本2.x-2.15范围内，启用了jndi查找操作，提供了注入点 将jndi指向自己的rmi或者ldap服务器，指定动态加载自己的类，即可实现攻击。 环境 ubuntu 18.04 jdk1.8_121 log4j2 2.11.1 模拟

  Published on:

• 使用awvs扫描web项目

  安装 直接使用docker #/bin/sh docker container rm -f myawvs docker run -it -d --net=host --name myawvs secfa/docker-awvs 运行后，服务在端口344

  Published on:

• 使用privoxy+ssh创建http代理

  需求 需要在本机上提供一个http代理，这个代理的出口为远程服务器 实现方法 privoxy 可以创建http代理， 并且可以转发到socks代理, ssh 可以创建socks代理。 流量路径 本地应用 -> 本地 http代理 -> ssh

  Published on: