点击蓝字关注我们前言Part 1为什么要学习Java抽象语法树呢?在计算机科学中,抽象语法树(abstract syntax tree 或者缩写为 AST),或者语法树(synta...
Shiro550改造版CC链利用
扫一扫关注公众号,长期致力于安全研究0x01 在shiro反序列化过程中,在反序列化的代码如下public T deserialize(byte[] serialized) throws S...
反序列化学习笔记(二)
XmlSerializer 类XmlSerializer是微软自带的序列化类,用于在xml字符串和对象之间相互转化。其命名空间:System.Xml.Serialization,程序集为:System...
Java无所不能的反射-URLDNS链分析
打算学习cc链的知识,一边记笔记,一边分析出来,大家可以一起学习。我参考的视频是 B站的 白日梦组长 在安全中,java反射起到很大的作用。让...
反序列化学习笔记(一)
简述dotnet序列化和反序列化同java类比,dotnet也需要对某个对象进行持久化处理,从而在任何时间都能够恢复这个对象。为什么要使用序列化?因为我们需要将重要的对象存入到媒体,这个媒体可能是数据...
Fastjson反序列化汇总-上篇
Fastjson简介Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONStrin...
Apache Solr不安全配置远程代码执行漏洞复现及jmx rmi利用分析
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
反序列化漏洞的防御与拒绝服务
最近两个月我一直在做拒绝服务漏洞相关的时间,并收获了Spring和Weblogic的两个CVE(还有一些报告也许正在审核和修复中)但DoS漏洞终归是鸡肋洞,并没有太大的意义,比如之前有人说我只会水垃圾...
CVE-2022-22965分析
一、 CVE-2010-1622spring的这个漏洞实际上是CVE-2010-1622的绕过,在绕过的同时结合了S2-020的利用方法。环境可从docker中获取...
Oracle out-of-band release for Java SE Vulnerability漏洞分析
今天转载一篇文章,是今天四叶草安全新鲜出的关于CVE...
java安全之CommonCollections1 TransformedMap链分析
前言 本人刚刚接触java安全(纯小白),自己的东西比较少,主要还是一个复现的过程师傅们见谅. 正文 普通的代码执行 java Runtime.getRuntime().exec("calc"); j...
.net反序列化萌新入门--Json.Net
01 Json.net简介Json.net即Newtonsoft.Json,是.Net中开源的Json序列化和反序列化工具,官方地址:http://www.newtonsoft.com/json。它虽...
17