By:小白@慢雾安全团队背景概述上篇文章中我们了解了什么是 delegatecall 函数以及一个基础的漏洞,这篇文章的目的是加深一下大家对 delegatecall 的印象并带大家一起去玩点刺激的,...
论父对象与子对象的关系
70后的道友都应该看过这么一部片子叫做<<父子情深>>。讲述的是一个小男孩患了绝症,父亲为了满足他的愿望,让已关门的游乐园为他们父子俩重新开放。在游乐园尽情地玩耍后,最后小孩子...
【技术分享】2020 第五空间 智能安全大赛 Web Writeup
一、hate-php这道Web题比较简单,访问后直接返回源代码进行审计<?phperror_reporting(0);if(!isset($_GET['code'])){ highlight_f...
java安全 fastjson不出网利用
最近暗月大哥在忙 由帅气的暗月小徒弟来更新 以下是平时一些笔记。希望对大家有用。1.介绍fastjson getshell的时候 需要构造一个恶意类 用的 rmi和jdni协议都是要出网的。...
一款自动生成单元测试的 IDEA 插件
点击下方“IT牧场”,选择“设为星标”今天来介绍一款工具Squaretest,它是一款自动生成单元测试的插件,为什么会用到它?主要因为最近公司上了代码质量管控的指标,会考评各个项目的单元测试覆盖率,...
【技术分享】Fastjson <1.2.48 入门调试
fastjson反序列化已经是近几年继Struts2漏洞后,最受安全人员欢迎而开发人员抱怨的一个漏洞了。目前分析Fastjson漏洞的文章很多,每次分析文章出来后,都是过一眼就扔一边了。正好最近在学习...
第二届网鼎杯(青龙组)部分wp
记录下第二届网鼎杯青龙组的部分wpAreUSerialz比较简单的一道反序列化题。因为类中有protected属性,所以要先绕过is_validfunction is_valid($s) ...
JWT 登录认证及 Token 自动续期方案解读
点击下方“IT牧场”,选择“设为星标”来源:juejin.cn/post/6932702419344162823过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经...
Java反序列化基础篇-类加载器
0x01 前言这篇文章/笔记的话,打算从类加载器,双亲委派到代码块的加载顺序这样来讲。最后才是加载字节码。0x02 类加载器及双亲委派说类加载器有些师傅可能没听过,但是说 Java ClassLoad...
浅谈基于Java Agent内存马的攻与防
声明:本公众号文章来自作者日常学习笔记或授权后的网络转载,切勿利用文章内的相关技术从事任何非法活动,因此产生的一切后果与文章作者和本公众号无关!0x00 Java Agent在 jdk 1.5 之后引...
fastjson反序列化复现
fastjson反序列化准备1.marshalsec ---可用jar包 参考:github:https://github.com/Lead...
Android混淆规则
-ignorewarnings # 忽略警告-optimizationpasses 5 # 指定代码的压缩级别-dontusemixedcaseclassnames # 是否使用大小写混合-dontp...
17