• 2022 年 11 月 9 日
• 筆記

序列化與反序列化 概述 Java序列化是指把Java對象轉換為位元組序列的過程；這串字元可能被儲存/發送到任何需要的位置， …

• 2022 年 11 月 2 日
• 筆記

在最後一步的實現上，cc2和cc3一樣，最終都是通過TemplatesImpl惡意位元組碼文件動態載入方式實現反序列化。 …

• 2022 年 10 月 28 日
• 筆記

cc3利用鏈如下： TrAXFilter(Templates templates) TemplatesImpl-> …

• 2022 年 10 月 20 日
• 筆記

前言 這是2016年的一個洞，利用條件是至少知道一個觸發 springboot 默認錯誤頁面的介面及參數名。 影響版本： …

• 2022 年 10 月 13 日
• 筆記

利用鏈如下： 其中LazyMap.get()->ChainedTransformer.transform()-In …

• 2022 年 4 月 27 日
• 筆記

Shiro550 shiro550和fastjson作為攻防演練的利器，前面學習了fastjson的相關利用和回顯，本篇 …

• 2022 年 4 月 21 日
• 筆記

java反序列化回顯 在很多不出網的情況下，一種是寫webshell(記憶體嘛)，另一種就是回顯，本文先學習回顯，回顯的主 …

• 2022 年 4 月 20 日
• 筆記

C3P0 c3p0第一次聽聞是用於fastjson的回顯上，大佬們總結三種方法，後面兩種主要就是用於fastjson和j …

• 2022 年 4 月 20 日
• 筆記

Fastjson tomcat-dbcp鏈 這條鏈可直接回顯，可以解決fastjson在內網的情況，因為很多實戰的時候， …