01 2023 档案
fastjson绕过-2
摘要:前言 这里的话就多介绍几种绕过的机制吧,然后原理的话就稍微分析一下,因为绕过的版本太多了,绕过的方法虽然有所不同但最终都是对代码的恶意解读嘛 1.2.25绕过 先看一下1.2.25这个版本是怎么修复这个漏洞的,简单点说就是增加了一个黑白名单。 public Class<?> checkAutoTyp
fastjson绕过-1
摘要:0x00前言 本篇介绍的是fastjson1.2.24之前的利用 Fastjson的序列化和反序列化不是java原生的反序列化,这点我在学fastjson的原理的时候就知道了,大概有下列一些不同。 变量不需要没有 transient关键字,解释一下吧 一旦变量被transient修饰,变量将不再是对
JAVA_Fastjson
摘要:这是一篇啰啰嗦嗦,我自己都不是特别能理清楚头脑的笔记,其中间有些地方没有跟好,我自己也只是大概的理解了这些内容,知道了大抵的流程,这个流程其实可跟可不跟的
JAVA之JNDI
摘要:0x00简介 根据官方文档https://docs.oracle.com/javase/tutorial/jndi/overview/index.html 什么是 jndi,JNDI 全称为 Java Naming and Directory Interface,即 Java 名称与目录接口。也就是
