Java安全之反序列化(1)
- 2022 年 11 月 9 日
- 笔记
序列化与反序列化 概述 Java序列化是指把Java对象转换为字节序列的过程;这串字符可能被储存/发送到任何需要的位置, …
Continue Reading
ysoserial CommonsCollections2 分析
- 2022 年 11 月 2 日
- 笔记
在最后一步的实现上,cc2和cc3一样,最终都是通过TemplatesImpl恶意字节码文件动态加载方式实现反序列化。 …
Continue Reading
ysoserial commonscollections3 分析
- 2022 年 10 月 28 日
- 笔记
cc3利用链如下: TrAXFilter(Templates templates) TemplatesImpl-> …
Continue Reading
SpringBoot框架SpEL表达式注入漏洞复现与原理分析
- 2022 年 10 月 20 日
- 笔记
前言 这是2016年的一个洞,利用条件是至少知道一个触发 springboot 默认错误页面的接口及参数名。 影响版本: …
Continue Reading
ysoserial commonscollections6 分析
- 2022 年 10 月 13 日
- 笔记
利用链如下: 其中LazyMap.get()->ChainedTransformer.transform()-In …
Continue Reading密码学系列之:PKI的证书格式表示X.509
- 2022 年 6 月 22 日
- 笔记
目录 简介 一个证书的例子 X.509证书的后缀 .pem .cer, .crt, .der .p7b, .p7c .p …
Continue Reading
shiro550反序列学习
- 2022 年 4 月 27 日
- 笔记
Shiro550 shiro550和fastjson作为攻防演练的利器,前面学习了fastjson的相关利用和回显,本篇 …
Continue Reading
java序列回显学习
- 2022 年 4 月 21 日
- 笔记
java反序列化回显 在很多不出网的情况下,一种是写webshell(内存嘛),另一种就是回显,本文先学习回显,回显的主 …
Continue Reading
C3P0反序列化链学习
- 2022 年 4 月 20 日
- 笔记
C3P0 c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和j …
Continue Reading
Fastjson tomcat-dhcp链
- 2022 年 4 月 20 日
- 笔记
Fastjson tomcat-dbcp链 这条链可直接回显,可以解决fastjson在内网的情况,因为很多实战的时候, …
Continue Reading