技术栈
java反序列化
y06_z
4 个月前
java
·
java反序列化
·
cc6
CC6利用链分析
CC1的两条利用链,在JDK 8u71之后已修复,不可利用。学一下不受版本限制的CC6利用链Commons Collections 3.2.1
Z3r4y
8 个月前
java
·
web
·
ctf
·
java反序列化
·
hessian反序列化
·
hessianonlyjdk
·
原生jdk
【Web】浅聊Hessian反序列化原生jdk利用与高版本限制绕过
目录前言原理分析EXPHessian2 低版本直接Runtime命令执行Hessian2 高版本利用Unsafe加载恶意字节码+二次调用触发初始化
Z3r4y
8 个月前
java
·
spring
·
web
·
ctf
·
java反序列化
·
hessian
·
hessian反序列化
【Web】浅聊Hessian反序列化之打Spring AOP——JNDI
目录前言简单分析EXP前文:【Web】浅聊Java反序列化之Rome——关于其他利用链-CSDN博客前文里最后给到一条HotSwappableTargetSource利用链,就是我们今天PartiallyComparableAdvisorHolder链子的前半段(触发恶意类的toString方法),故不再赘述。
Z3r4y
8 个月前
java
·
web
·
ctf
·
java反序列化
·
反序列化
·
ciscn
·
deserbug
【Web】记录CISCN2023国赛初赛DeserBug题目复现
目录前言分析step0step1step2EXP总结Hessian的链子审得有点疲劳,不如做做题吧,挑了国赛入手,整体做下来感觉十分丝滑&水到渠成,自然&通透。
Z3r4y
8 个月前
java
·
web
·
ctf
·
java反序列化
·
反序列化
·
c3p0
·
c3p0反序列化
【Web】浅聊Java反序列化之C3P0——JNDI注入利用
目录简介原理分析EXP前文:【Web】浅聊Java反序列化之C3P0——URLClassLoader利用
Z3r4y
8 个月前
java
·
spring
·
web
·
ctf
·
java反序列化
·
反序列化
·
spring2链
【Web】浅聊Java反序列化之Spring2链——两层动态代理
目录简介简话JdkDynamicAopProxy关于target的出身——AdvisedSupport
Z3r4y
8 个月前
java
·
web
·
ctf
·
java反序列化
·
反序列化
·
rome
·
rome反序列化
【Web】浅聊Java反序列化之Rome——关于其他利用链
目录前言JdbcRowSetImpl利用链BasicDataSource利用链Hashtable利用链
Z3r4y
8 个月前
java
·
web
·
ctf
·
java反序列化
·
cc链
·
cc2
【Web】Java反序列化之CC2——commons-collections4的新链之一
目录关于commons-collections4一个重要的思维模型触发Transform的关键类:TransformingComparator
Z3r4y
9 个月前
java
·
tomcat
·
web
·
ctf
·
java反序列化
·
反序列化
·
ctfshow
【Web】CTFSHOW java反序列化刷题记录(部分)
目录web846web847web848web849web850web856web857web858直接拿URLDNS链子打就行
过期的秋刀鱼-
1 年前
安全
·
web安全
·
网络安全
·
java反序列化
渗透测试漏洞原理之---【不安全的反序列化】
为什么要序列化?序列化,“将对象的状态信息转换为可以存储或传输的形式的过程”,这种形式⼤多为字节流、字符串、json 串。在序列化期间内,将对象当前状态写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建该对象。简单的说,序列化就是把⼀个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的进⾏通信。
末 初
1 年前
java
·
java反序列化
·
cc链
【学习笔记】Java安全之反序列化
最近在学习Phith0n师傅的知识星球的Java安全漫谈系列,随手记下笔记