java反序列化-二次反序列化 发布于 2025-03-20 | 15分钟 | 2518字数 java反序列化-二次反序列化 二次反序列化,顾名思义就是反序列化二次,其主要意义是绕过黑名单的限制或不出网利用 其中主要的类是SignedObject 阅读全文 »
Java-ROME反序列化链 发布于 2025-03-18 | 8分钟 | 1312字数 Java-ROME链 这条链子整体是通过ToStringBean#toString来触发_beanClass的getter实现rce的 阅读全文 »
浅谈Java反序列化Fastjson&bypass 发布于 2025-02-24 | 29分钟 | 5417字数 浅谈Java反序列化Fastjson&bypass fastjson介绍 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 阅读全文 »
高版本jdk浅谈 发布于 2025-02-20 | 9分钟 | 1794字数 高版本jdk浅谈 在jdk17及之后无法反射 java.* 包下非public 修饰的属性和方法。 根据 Oracle的文档,为了安全性,从JDK 17开始对java本身代码使用强封装,原文叫 Strong Encapsulation。任何对 java.* 代码中的非public变量和方法进行反射会抛出InaccessibleObjectException异常。 阅读全文 »
JAVA反序列化RMI专题2 发布于 2025-02-16 | 22分钟 | 4640字数 Java 反序列化之 RMI 专题 02-RMI 的几种攻击方式 接我的笔记rmi反序列化专题1 根据 RMI 的部分,有这么一些攻击方式 阅读全文 »
JAVA反序列化RMI专题1 发布于 2025-02-15 | 6分钟 | 1386字数 Java反序列化RMI专题 1.创建远程服务 用exportObject()指定到发布的 IP 与端口,端口的话是一个随机值。至始至终复杂的地方其实都是在赋值,创建类,进行各种各样的封装,实际上并不复杂。是Stub 阅读全文 »