什么是反序列化序列化,是指将内存中的某个对象压缩成字节流的形式,而反序列化,则是将字节流转化成内存中的对象。Java序列化和反序列化处理是基于Java框架的Web应用中比较重要的功能。因为在网络中,无...
CVE-2022-28219 ZOHO ManageEngine ADAudit Plus XXE到RCE
免责声明 本公众号仅用于技术交流与学习,利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号只是知识的搬运工,取之于...
JAVA安全|Gadget篇:无JDK版本限制的CC6链
0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识,构建自己的java知识体系,并实际地将java用起来,达到熟练掌握ja...
填坑:Externalizable、readUnshared
一、Externalizable它的源码如下public interface Externalizable extends java.io.Serializable { /** * The objec...
Weblogic Analysis Attacked by T3 Protocol From CVE (part 3)
前言 继续抽空学习Weblogic CVE中有关T3协议的漏洞利用方式! 环境搭建 和前面的过程类似 T3+JRMP利用 CVE-2018-2628 原理 这个CVE也就是前面的一种绕过,前面是在pa...
Java安全|URLDNS链利用分析
java反射机制什么是java反射Java反射机制是在运行状态时,对于任意一个类,都能够获取到这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性(包括私有的方法和属性),这种动...
commons-beanutils 的三种利用原理构造与POC
写在前面 commons-beanutils 是 Apache 提供的一个用于操作 JAVA bean 的工具包。里面提供了各种各样的工具类,让我们可以很方便的对bean对象的属...
JAVA安全|Gadget篇:URLDNS链
0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识,构建自己的java知识体系,并实际地将java用起来,达到熟练掌握ja...
Weblogic T3协议白名单绕过方法探索
去年weblogic出白名单时研究了下怎么绕过,总结出了下面的思路,本想再找找有无新的攻击面的思路,但是找了几次都没找到,后来就搁置了。昨天看见https://xz.aliyun.com/t/1103...
Java反序列化基础篇反序列化概念与利用
0x01 前言写这篇文章,是想在 Java 反序列化基础的地方再多过几遍,毕竟万丈高楼平地起。我是非常不建议新手们一上来就开始分析 CC 链,就开始看 shiro 的 POC 的,我觉得还是得先打好基...
『代码审计』ysoserial CommonsCollections 1 反序列化分析
点击蓝字 关注我们日期:2022-07-18作者:ICDAT介绍:这篇文章主要是对 ysoserial CommonsCollections 1 反序列化链分析。0x00 前言前面我们首先啃了 Com...
Tomcat session 分析【CVE-2020-9484】
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此...
4