技术栈
java sec
Erosion2020
20 天前
java sec
log4j2 变量注入漏洞(CVE-2021-44228)
log4j2 JNDI注入漏洞(CVE-2021-44228)本文非常详细的从头到尾debug了CVE-2021-44228漏洞的利用过程,喜欢的师傅记得点个推荐~
Erosion2020
24 天前
java sec
Filter内存马
最近感冒了,不想BB太多,直接开始调试吧,先写个Filter来调试新建一个FilterShell类,代码如下:
Erosion2020
25 天前
tomcat
·
java sec
Servlet内存马
emmm.....本篇写的还不是很完善,学着后边的忘着后边的,后续边学边完善吧........如果你不了解IDEA调试Tomcat和Tomcat各组件概念可以参考我的博客:JAVA WEB环境搭建 和 Tomcat各组件解析
Erosion2020
1 个月前
java
·
java sec
SPI机制
Java SPI(Service Provider Interface)是一种 服务发现机制,用于实现模块化、可插拔式的设计。在 Java 中,它允许程序在运行时动态地加载和调用实现类,而不是在编译时硬编码依赖。这种机制在 JDK 内置库 和 第三方库 中被广泛使用,例如 JDBC 驱动加载、日志框架绑定(如 SLF4J 和 Logback)、序列化机制扩展等。
Erosion2020
1 个月前
java
·
反序列化
·
java sec
RMI原理及常见反序列化攻击手法
这是对网上一些文章和视频的再总结,可以参考以下资料,师傅们分析的都挺详细了,我这就是记录一下师傅们写的博客。
Erosion2020
1 个月前
反序列化
·
java sec
CommonsBeanUtils1(基于ysoserial)
JDK1.8(8u421) JDK8的版本应该都没什么影响,这里直接以我的镜像为准了、commons-beanutils:commons-beanutils:1.9.2、commons-collections:commons-collections:3.2、javassist:javassist:3.12.0.GA