CVE-2022-22947 Spring Cloud Gateway SPEL RCE复现
- 2022 年 3 月 4 日
- 筆記
目录 0 环境搭建 1 漏洞触发点 2 构建poc 3 总结 参考 0 环境搭建 影响范围: Spring Cloud …
Continue Reading
Java中的Unsafe在安全领域的一些应用总结和复现
- 2022 年 3 月 1 日
- 筆記
目录 0 前言 1 基本使用 1.1 内存级别修改值 1.2 创建对象 1.3 创建VM Anonymous Class …
Continue Reading
java高版本下各种JNDI Bypass方法复现
- 2022 年 2 月 28 日
- 筆記
目录 0 前言 1 Java高版本JNDI绕过的源代码分析 1.1 思路一的源码分析 1.2 思路二的源码分析 2 基于 …
Continue Readingnetty系列之:请netty再爱UDT一次
- 2022 年 1 月 21 日
- 筆記
目录 简介 netty对UDT的支持 搭建一个支持UDT的netty服务 异常来袭 TypeUDT和KindUDT 构建 …
Continue Reading
通过CVE-2021-43297漏洞在Apache Dubbo<=2.7.13下实现RCE
- 2022 年 1 月 21 日
- 筆記
目录 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 …
Continue Reading
利用shiro反序列化注入冰蝎内存马
- 2021 年 12 月 27 日
- 筆記
利用shiro反序列化注入冰蝎内存马 文章首发先知社区://xz.aliyun.com/t/10696 一、shiro反 …
Continue Readingnetty系列之:手持framecodec神器,创建多路复用http2客户端
- 2021 年 12 月 9 日
- 筆記
目录 简介 配置SslContext 客户端的handler 使用Http2FrameCodec Http2Multip …
Continue Reading
ysoserial-CommonsBeanutils1的shiro无依赖链改造
- 2021 年 12 月 5 日
- 筆記
ysoserial-CommonsBeanutils1的shiro无依赖链改造 一、CB1利用链分析 此条利用链需要配合 …
Continue Reading
Java安全之Axis漏洞分析
- 2021 年 11 月 26 日
- 筆記
Java安全之Axis漏洞分析 0x00 前言 看到个别代码常出现里面有一些Axis组件,没去仔细研究过该漏洞。研究记录 …
Continue Reading
Dubbo的反序列化安全问题——kryo和fst
- 2021 年 11 月 22 日
- 筆記
目录 0 前言 1 Dubbo的协议设计 2 Dubbo中的kryo序列化协议触发点 3 Dubbo中的fst序列化协议 …
Continue Reading