利用Fastjson注入Spring内存马
- 2021 年 11 月 20 日
- 筆記
此篇文章在于记录自己对spring内存马的实验研究 一、环境搭建 搭建漏洞环境,利用fastjson反序列化,通过JND …
Continue Reading
Dubbo的反序列化安全问题-Hessian2
- 2021 年 11 月 8 日
- 筆記
0 前言 本篇是系列文章的第一篇,主要看看Dubbo使用反序列化协议Hessian2时,存在的安全问题。文章需要RPC、 …
Continue Reading
Tomcat 内存马(二)Filter型
- 2021 年 11 月 6 日
- 筆記
一、Tomcat处理请求 在前一个章节讲到,tomcat在处理请求时候,首先会经过连接器Coyote把request对象 …
Continue Reading
Tomcat 内存马(一)Listener型
- 2021 年 11 月 5 日
- 筆記
一、Tomcat介绍 Tomcat的主要功能 tomcat作为一个 Web 服务器,实现了两个非常核心的功能: Http …
Continue Reading
从commons-beanutils反序列化到shiro无依赖的漏洞利用
- 2021 年 10 月 13 日
- 筆記
目录 0 前言 1 环境 2 commons-beanutils反序列化链 2.1 TemplatesImple调用链 …
Continue Reading
Shiro 550反序列化漏洞分析
- 2021 年 10 月 7 日
- 筆記
Shiro 550反序列化漏洞分析 一、漏洞简介 影响版本:Apache Shiro < 1.2.4 特征判断:返 …
Continue Reading
利用Java Agent进行代码植入
- 2021 年 10 月 6 日
- 筆記
利用Java Agent进行代码植入 Java Agent 又叫做 Java 探针,是在 JDK1.5 引入的一种可以动 …
Continue Reading
AspectJWeaver文件写入gadget详解和两种应用场景举例
- 2021 年 9 月 17 日
- 筆記
目录 0 前言 1 环境 2 gadget解析 2.1 高版本Commons-Collections的防御措施 2.2 …
Continue Reading
Weblogic Coherence组件漏洞初探CVE-2020-2555
- 2021 年 9 月 15 日
- 筆記
Weblogic Coherence组件漏洞初探CVE-2020-2555 2020年1月,互联网上爆出了weblogi …
Continue Reading
JDK7u21反序列化详解
- 2021 年 9 月 13 日
- 筆記
目录 前言 环境 倒序分析 TemplatesImpl AnnotationInvocationHandler Hash …
Continue Reading