CVE-2022-22947 Spring Cloud Gateway SPEL RCE復現
- 2022 年 3 月 4 日
- 筆記
目錄 0 環境搭建 1 漏洞觸發點 2 構建poc 3 總結 參考 0 環境搭建 影響範圍: Spring Cloud …
Continue Reading
Java中的Unsafe在安全領域的一些應用總結和復現
- 2022 年 3 月 1 日
- 筆記
目錄 0 前言 1 基本使用 1.1 記憶體級別修改值 1.2 創建對象 1.3 創建VM Anonymous Class …
Continue Reading
java高版本下各種JNDI Bypass方法復現
- 2022 年 2 月 28 日
- 筆記
目錄 0 前言 1 Java高版本JNDI繞過的源程式碼分析 1.1 思路一的源碼分析 1.2 思路二的源碼分析 2 基於 …
Continue Readingnetty系列之:請netty再愛UDT一次
- 2022 年 1 月 21 日
- 筆記
目錄 簡介 netty對UDT的支援 搭建一個支援UDT的netty服務 異常來襲 TypeUDT和KindUDT 構建 …
Continue Reading
通過CVE-2021-43297漏洞在Apache Dubbo<=2.7.13下實現RCE
- 2022 年 1 月 21 日
- 筆記
目錄 0 前言 1 找源頭 1.1 找到觸發點 1.2 可用的gadget 1.3 向上推觸發點 2 構造poc 2.1 …
Continue Reading
利用shiro反序列化注入冰蠍記憶體馬
- 2021 年 12 月 27 日
- 筆記
利用shiro反序列化注入冰蠍記憶體馬 文章首發先知社區://xz.aliyun.com/t/10696 一、shiro反 …
Continue Readingnetty系列之:手持framecodec神器,創建多路復用http2客戶端
- 2021 年 12 月 9 日
- 筆記
目錄 簡介 配置SslContext 客戶端的handler 使用Http2FrameCodec Http2Multip …
Continue Reading
ysoserial-CommonsBeanutils1的shiro無依賴鏈改造
- 2021 年 12 月 5 日
- 筆記
ysoserial-CommonsBeanutils1的shiro無依賴鏈改造 一、CB1利用鏈分析 此條利用鏈需要配合 …
Continue Reading
Java安全之Axis漏洞分析
- 2021 年 11 月 26 日
- 筆記
Java安全之Axis漏洞分析 0x00 前言 看到個別程式碼常出現裡面有一些Axis組件,沒去仔細研究過該漏洞。研究記錄 …
Continue Reading
Dubbo的反序列化安全問題——kryo和fst
- 2021 年 11 月 22 日
- 筆記
目錄 0 前言 1 Dubbo的協議設計 2 Dubbo中的kryo序列化協議觸發點 3 Dubbo中的fst序列化協議 …
Continue Reading