单纯小白

chunn1

0关注
0粉丝
1文章
返回网站首页

您已发布 1篇文章作品写文章

vaadin下的反序列化利用链

国庆回来看到先知上新增了两条关于vaadin的利用链,分别是jdbc和jndi,其实两种方法的前半段的调用是一样的只不过最后进行利用的类不一样 ,因为是新链,在一些存在反序列化漏洞但存在反序列化黑名单的场景下可以尝试进行利用#CTL{\n}#CTL{\n}jdbc的调用是最后是通过SimpleJDBCConnectionPool的reserveConnection方法进行触发的,结合H2数据库可以

 2个月前
 0 
 9