TL;DR使用HornetQ设置配置HA-JNDI服务的步骤是什么？我相信文档有点分散。我已通读文档here但似乎没有详细说明。加长版:所以我们有一个HornetQJMS设置以及JNDI。我们说有5台服务器，它们运行HornetQJMS主实例，每台服务器上都有JNDI服务。在这5台服务器上，我们还为其他HornetQ主实例运行了一个辅助实例。举例说明:ServerA-HornetQa_primary,JNDI,HornetQb_secondaryServerB-HornetQb_primary,JNDI,HornetQc_secondaryServerC-HornetQc_primar

TL;DR使用HornetQ设置配置HA-JNDI服务的步骤是什么？我相信文档有点分散。我已通读文档here但似乎没有详细说明。加长版:所以我们有一个HornetQJMS设置以及JNDI。我们说有5台服务器，它们运行HornetQJMS主实例，每台服务器上都有JNDI服务。在这5台服务器上，我们还为其他HornetQ主实例运行了一个辅助实例。举例说明:ServerA-HornetQa_primary,JNDI,HornetQb_secondaryServerB-HornetQb_primary,JNDI,HornetQc_secondaryServerC-HornetQc_primar

0x00简介根据官方文档https://docs.oracle.com/javase/tutorial/jndi/overview/index.html什么是jndi，JNDI全称为JavaNamingandDirectoryInterface，即Java名称与目录接口。也就是一个名字对应一个Java对象,就是一个对象对应一个字符串，可以把一个对象绑定到一个字符串上面jndi在jdk里面支持以下四种服务LDAP：轻量级目录访问协议通用对象请求代理架构(CORBA)；通用对象服务(COS)名称服务Java远程方法调用(RMI)注册表DNS服务前三种对应的都是对象，最后一种dns是ip对应域名就是

0x00简介根据官方文档https://docs.oracle.com/javase/tutorial/jndi/overview/index.html什么是jndi，JNDI全称为JavaNamingandDirectoryInterface，即Java名称与目录接口。也就是一个名字对应一个Java对象,就是一个对象对应一个字符串，可以把一个对象绑定到一个字符串上面jndi在jdk里面支持以下四种服务LDAP：轻量级目录访问协议通用对象请求代理架构(CORBA)；通用对象服务(COS)名称服务Java远程方法调用(RMI)注册表DNS服务前三种对应的都是对象，最后一种dns是ip对应域名就是

DeserializationLDAP在通过LDAP协议访问远程服务的时候，我们可以跟进到 LdapCtx#c_lookup方法中这里调用了 doSearchOnce方法获取LDAP远程返回的Result数据到最后会来到 LdapCtx#doSearch方法中存在有 LdapClient#search方法的调用首先他会封装了一个 LdapRequest的请求，之后通过 getSearchReply方法的调用获取对应的查询结果跟进一下在获取了返回的属性之后，将其放入了 BasicAttributes类对象中之后将会把获取到的 LdapEntry封装进入 LdapResult对象中去最后返回了这个

DeserializationLDAP在通过LDAP协议访问远程服务的时候，我们可以跟进到 LdapCtx#c_lookup方法中这里调用了 doSearchOnce方法获取LDAP远程返回的Result数据到最后会来到 LdapCtx#doSearch方法中存在有 LdapClient#search方法的调用首先他会封装了一个 LdapRequest的请求，之后通过 getSearchReply方法的调用获取对应的查询结果跟进一下在获取了返回的属性之后，将其放入了 BasicAttributes类对象中之后将会把获取到的 LdapEntry封装进入 LdapResult对象中去最后返回了这个

背景log4j是被广泛使用的日志框架，这次漏洞原理就是通过JNDI注入。影响范围：2.0-beta9一、理论学习A、什么是JNDIJNDI全称JavaNamingandDirectoryInterface。JNDI是Java平台的一个标准扩展，提供了一组接口、类和关于命名空间的概念。如同其它很多Java技术一样，JDNI是provider-based的技术，暴露了一个API和一个服务供应接口（SPI）。这意味着任何基于名字的技术都能通过JNDI而提供服务，只要JNDI支持这项技术。JNDI目前所支持的技术包括LDAP、CORBACommonObjectService（COS）名字服务、RMI、

背景log4j是被广泛使用的日志框架，这次漏洞原理就是通过JNDI注入。影响范围：2.0-beta9一、理论学习A、什么是JNDIJNDI全称JavaNamingandDirectoryInterface。JNDI是Java平台的一个标准扩展，提供了一组接口、类和关于命名空间的概念。如同其它很多Java技术一样，JDNI是provider-based的技术，暴露了一个API和一个服务供应接口（SPI）。这意味着任何基于名字的技术都能通过JNDI而提供服务，只要JNDI支持这项技术。JNDI目前所支持的技术包括LDAP、CORBACommonObjectService（COS）名字服务、RMI、

0x01前言学习一下WebLogicJNDI注入RCE（CVE-2021-2109）0x02环境搭建和之前WebLogic的环境搭建是一致的，本文不再赘述。不过值得一提的是，我的weblogic版本是10.3.6；需要手动添加 \server\lib\consoleapp\webapp\WEB-INF\lib\console.jar 到依赖里面0x03漏洞分析与复现漏洞影响版本与前提条件OracleWebLogicServer10.3.6.0.0,12.1.3.0.0,12.2.1.3.0,12.2.1.4.0,14.1.1.0.0。拥有访问 /console/consolejndi.port

0x01前言学习一下WebLogicJNDI注入RCE（CVE-2021-2109）0x02环境搭建和之前WebLogic的环境搭建是一致的，本文不再赘述。不过值得一提的是，我的weblogic版本是10.3.6；需要手动添加 \server\lib\consoleapp\webapp\WEB-INF\lib\console.jar 到依赖里面0x03漏洞分析与复现漏洞影响版本与前提条件OracleWebLogicServer10.3.6.0.0,12.1.3.0.0,12.2.1.3.0,12.2.1.4.0,14.1.1.0.0。拥有访问 /console/consolejndi.port