Java安全之动态加载字节码
Java字节码 简单说,Java字节码就是.class后缀的文件,里面存放Java虚拟机执行的指令。 由于Java是一门跨平台的编译型语言,所以可以适用于不同平台,不同CPU的计算机 ......![]()
ysoserial CommonsColletions4分析
ysoserial CommonsColletions4分析 其实CC4就是 CC3前半部分和CC2后半部分 拼接组成的,没有什么新的知识点。 不过要注意的是,CC4和CC2一样需要在commons-collecti ......![]()
ysoserial CommonsColletions3分析(1)
CC3的利用链在JDK8u71版本以后是无法使用的,具体还是由于AnnotationInvocationHandler的readobject进行了改写。 而CC3目前有两条主流的利用链,利用TransformedMap ......![]()
CommonsBeanutils1 分析笔记
commons-beanutils-1.9.2.jar 包下的 PropertyUtilsgetProperty方法相对于getXxx方法,取得其值。 来试下该方法功能 public class Person { private String ......![]()
ysoserial commonscollections3 分析
cc3利用链如下: TrAXFilter(Templates templates) TemplatesImpl->newTransformer() TemplatesImpl->getTransletInstance() _class[_tr ......![]()
从0开始fastjson漏洞分析
关于fastjson漏洞利用参考:https://www.cnblogs.com/piaomiaohongchen/p/10799466.html fastjson这个漏洞出来了很久,一直没时间分析,耽搁了,今天捡起来 因为 ......![]()
Java安全之反序列化回显研究
Java安全之反序列化回显研究 续上文反序列化回显与内存马,继续来看看反序列化回显的方式。上篇文中其实是利用中间件中存储的Request 和Response对象来进行回显。 ......![]()
commons-collections利用链学习总结
目录 1 基础 ConstantTransformer InvokeTransformer ChainedTransformer LazyMap TiedMapEntry TransformingComparator PriorityQueue TemplatesImpl 2 实现rea ......![]()
fastjson反序列化漏洞原理及利用
重要漏洞利用poc及版本 我是从github上的参考中直接copy的exp,这个类就是要注入的类 import java.lang.Runtime; import java.lang.Process; public class Explo ......![]()
↓ 按住下拉
V2AS = Way To Ask
V2AS 一个技术分享与创造的静土
手机扫一扫
移动阅读更方便
近15日热搜文章