技术栈
hessian反序列化
Z3r4y
1 年前
java
·
web
·
ctf
·
java反序列化
·
hessian反序列化
·
hessianonlyjdk
·
原生jdk
【Web】浅聊Hessian反序列化原生jdk利用与高版本限制绕过
目录前言原理分析EXPHessian2 低版本直接Runtime命令执行Hessian2 高版本利用Unsafe加载恶意字节码+二次调用触发初始化
Z3r4y
1 年前
java
·
spring
·
web
·
ctf
·
java反序列化
·
hessian
·
hessian反序列化
【Web】浅聊Hessian反序列化之打Spring AOP——JNDI
目录前言简单分析EXP前文:【Web】浅聊Java反序列化之Rome——关于其他利用链-CSDN博客前文里最后给到一条HotSwappableTargetSource利用链,就是我们今天PartiallyComparableAdvisorHolder链子的前半段(触发恶意类的toString方法),故不再赘述。