作者:donghli,腾讯 PCG 后台开发工程师了解过 Hex 六边形架构、Onion 洋葱架构、Clean 整洁架构的同学可以将本篇文章介绍的实践方法与自身项目代码架构对比并互通有无,共同改进。没...
Commons-collections3 利用链分析笔记
类加载把.java文件编译为.class文件,把字节码中的二进制数据读入到内存中,将其放在运行时数据区的方法区内,然后在堆区创建一个java.lang.Class对象,用来封装类在方法区内的数据结构。...
手把手系列 || Java安全之代码反射及反射到命令执行(大量代码案例版)
嗨,朋友你好,我是闪石星曜CyberSecurity创始人Power7089。(大家的给公众号点个星标哦,实时获取最新文章不迷路~)今天为大家带来的是【炼石计划@Java代码审计】内部圈子原创文章之J...
深入理解 RMI 之运行逻辑与漏洞原理
深入理解 RMI 之漏洞原理篇环境是 jdk8u65本文侧重于理解原理,攻击篇会放到后续一篇中讲。0x01 前言RMI 作为后续漏洞中最为基本的利用手段之一,学习的必要性非常之大。本文着重偏向于 RM...
代码安全审计
免责声明由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
Java代码审计之ofcms | 技术精选0140
本文约2000字,阅读约需5分钟。话不多说,直接开始今天的代码审计。1环境搭建Github地址如下:"https://github.com/yuzhaoyang001/ofcms"下载后,直接用IDE...
记一次由外挂站引起的代码审计
前段时间的一天,我正在某安全群中吹着牛逼,突然好基友dd我,好家伙,原来是玩把游戏遇到大哥了。最主要的是这些大哥一直打开麦在宣传他们的外挂网站。好家伙,这叔可忍婶不可忍。好基友偷偷的记下了外挂站的域名...
新手php代码审计之beescms
这段时间一直在恶补php的基础知识,为后续代码审计做准备。今天决定先小试牛刀一下,在星球大牛的建议下,准备拿beescms练练手,顺便写了这篇文章记录一下。先简单了解一下这套cmsBEES企业网站管理...
Java代码审计—文件上传漏洞
环境配置 Springboot:2.7.5 依赖 ``` org.springframework.boot spring-boot-starter-web ...
从Deserialization和覆盖trustURLCodebase进行JNDI注入
Deserialization LDAP 在通过LDAP协议访问远程服务的时候,我们可以跟进到 LdapCtx#c_lookup方法中 这里调用了 doSearchOnce方法获取LDAP远程返回的R...
SPEL注入流程分析及CTF中如何使用
配置 https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rce,导入mav...
AspectJWeaver利用链绕过serialKiller
AspectJWeaver利用链绕过serialKiller 1.serialKiller原理: 通过重写ObjectInputStream 类中的resolveClass方法加入黑名单来限制反序列化...
128