浅谈Java反序列化Fastjson&bypass

发布于 2025-02-24 | 29分钟 | 5417字数

浅谈Java反序列化Fastjson&bypass

fastjson介绍

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

阅读全文 »

高版本jdk浅谈

发布于 2025-02-20 | 9分钟 | 1794字数

高版本jdk浅谈

在jdk17及之后无法反射 java.* 包下非public 修饰的属性和方法。

根据 Oracle的文档，为了安全性，从JDK 17开始对java本身代码使用强封装，原文叫 Strong Encapsulation。任何对 java.* 代码中的非public变量和方法进行反射会抛出InaccessibleObjectException异常。

阅读全文 »

高版本jdk下的jndi利用

发布于 2025-02-18 | 9分钟 | 1564字数

高版本jdk下的jndi利用

前言

阅读全文 »

java反序列化JNDI 学习

发布于 2025-02-17 | 5分钟 | 876字数

java反序列化JNDI 学习

Java Jndi 注入学习

阅读全文 »

JAVA反序列化RMI专题2

发布于 2025-02-16 | 22分钟 | 4640字数

Java 反序列化之 RMI 专题 02-RMI 的几种攻击方式

接我的笔记rmi反序列化专题1

根据 RMI 的部分，有这么一些攻击方式

阅读全文 »

JAVA反序列化RMI专题1

发布于 2025-02-15 | 6分钟 | 1386字数

Java反序列化RMI专题

1.创建远程服务

用exportObject()指定到发布的 IP 与端口，端口的话是一个随机值。至始至终复杂的地方其实都是在赋值，创建类，进行各种各样的封装，实际上并不复杂。是Stub

阅读全文 »

Shiro550&721漏洞分析

发布于 2025-02-13 | 12分钟 | 2131字数

Shiro550&721漏洞分析

环境搭建

Shiro一把梭哈工具分析

阅读全文 »

CC11&CommonsBeanUtils1链子分析

发布于 2025-02-12 | 10分钟 | 1747字数

CC11&CommonsBeanUtils1链子分析

CommonsBeanUtils1 链

这个链子和以往的链子还是有很多地方不同的，值得详细分析一下。

阅读全文 »

CommonsCollections1-8

发布于 2024-12-05 | 21分钟 | 3383字数

Java反序列化CC1-8链分析

cc1-TransformedMap

  <dependencies>

阅读全文 »

关于JAVA中类的动态加载

发布于 2024-12-04 | 22分钟 | 4539字数

关于JAVA中类的动态加载

类加载器有什么用

阅读全文 »