高低JDK版本中JNDI注入 这篇文章主要是分析在高低版本JDK中JNDI注入RMI和LDAP两个攻击向量的调用过程以及异同点，并且尝试调试高版本JDK的绕过方法。   分析高低版JDK下的JNDI注入 RMI 低版本 这里用RMI+Reference做演示，JDK版本为8u65： 服务端 import com.sun.jndi.rmi.regis…

RMI原理与使用 何为RMI RMI（Remote Method Invocation）即远程方法调用，是分布式编程中的一个基本思想。实现远程方法调用的技术有很多，比如CORBA、WebService，这两种都是独立于各个编程语言的。 而Java RMI是专为Java环境设计的远程方法调用机制，是一种用于实现远程调用（RPC，Remote Proc…

Spring 反序列化JNDI注入漏洞 环境搭建 直接用的Github的项目：https://github.com/zerothoughts/spring-jndi 下载到本地，导入maven项目即可。 同时，为了顺利复现漏洞，JDK要在以下的版本之下：8u121、7u131、6u141。在上述版本之后的JDK中，都增加了com.sun.jndi.…

RMI反序列化 RMI介绍 RMI，是Remote Method Invocation（远程方法调用）的缩写，即在一个JVM中java程序调用在另一个远程JVM中运行的java程序，这个远程JVM既可以在同一台实体机上，也可以在不同的实体机上，两者之间通过网络进行通信。 RMI依赖的通信协议为JRMP(Java Remote Message Pro…

这篇文章受密码保护，输入密码才能阅读