前言分享下最近Java GC检测工作的相关收获(其实也是为了证明某些链不是误报而绞尽脑汁,主要依靠Java的动态Agent技术修改writeObject流程好用的ArrayTable你是否还在为了想用...
JAVA安全-反序列化系列-CC6(无依赖链)分析
免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除...
7.DataContractSerializer反序列化点以及相关链
1.DataContractSerializer的使用一个功能和用法都很像XmlSerializer的方法。先用软子的官方文档的代码来学习一下。我们先写一个类注意这个类上面要加上[DataContra...
九维团队-绿队(改进)| JAVA反序列化用法科普
一介绍java反序列化是将对象从字节流转换回对象的过程。在Java中,可以使用对象输出流来将Java对象序列化为字节流,并使用对象输入流将字节流反序列化为Java对象。反序列化的过程是在Java虚拟机...
2.BinaryFormatter反序列化点+几个链子
1.关于BinaryFormatter其实非要说的话,BinaryFormatter才是.NET里最经典的序列化与反序列化相关类,从名字就可以看出来,这玩意大概是用来把对象序列化成二进制数据或者把二进...
Java安全之cc3
前言我们前面进行了Java的类加载分析,发现最底层是defineClass进行加载。也用两种方式(TemplatesImpl和BCEL)实现了Java的类加载执行恶意类。下面我们来把cc1中的执行命令...
Java安全-URLDNS链审计
一、什么是URLDNS链 URLDNS链是Java安全中比较简单的一条利用链,无需使用任何第三方库,全依靠Java内置的一些类实现,但无法进行命令执行,只能实现对URl的访问探测(发起DNS请求),...
Java 反序列化学习
Class Loader讲的比较清楚的文章:https://www.cnblogs.com/ityouknow/p/5603287.html类与类加载器对于任何一个类,都需要由加载它的类加载器和这个类...
反序列化学习之路-Apache Commons Collections(CC1)补充-LazyMap路线
1.介绍Apache Commons工具包中有⼀个组件叫做 Apache Commons Collections ,其封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的...
JAVA安全-反序列化系列(基础篇)含URLDNS链分析
点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...
Java序列化基础-URLDNS利用
0x01 序列化概念序列化是指将一个对象转换为一个字节序列(包含对象的数据、对象的类型和对象中存储的属性等信息),以便在网络上传输或保存到文件中,或者在程序之间传递。在 Java 中,序列化通过实现 ...
Java 反序列化学习
Class Loader 讲的比较清楚的文章:https://www.cnblogs.com/ityouknow/p/5603287.html 类与类加载器对于任何一个类,都需要由加载它的类加载器和这...