会员
周边
众包
新闻
博问
闪存
赞助商
Chat2DB
所有博客
当前博客
我的博客
我的园子
账号设置
会员中心
简洁模式
...
退出登录
注册
登录
Aixve
博客园
首页
新随笔
订阅
管理
随笔 - 34
文章 - 0
评论 - 0
阅读 -
3990
随笔分类 -
web
Fastjson反序列化漏洞3:JdbcRowSetImpl利用链-JNDI注入
摘要:
顺势找到setDataSourceName,有setter方法,可以使用fastjson为其添值
阅读全文
posted @
2024-05-11 17:31
aixve
阅读(283)
评论(0)
推荐(0)
编辑
BCEL:加载恶意类
摘要:
当类名以$$BCEL$$开头时,会对后续字符串进行解码操作
阅读全文
posted @
2024-05-11 10:19
aixve
阅读(121)
评论(0)
推荐(0)
编辑
一个demo快速理解序列化和反序列化
摘要:
李华站了起来,企图制造一个对象objout.writeObject(XiaoLi);
阅读全文
posted @
2024-05-02 16:59
aixve
阅读(14)
评论(0)
推荐(0)
编辑
cc1链:分析与实现
摘要:
核心目的:传入一个类对象,它的反序列化方法能执行命令,同时执行的命令应该可控。
阅读全文
posted @
2024-04-10 16:32
aixve
阅读(68)
评论(0)
推荐(0)
编辑
点击右上角即可分享
当类名以$$BCEL$$开头时,会对后续字符串进行解码操作
李华站了起来,企图制造一个对象objout.writeObject(XiaoLi);
核心目的:传入一个类对象,它的反序列化方法能执行命令,同时执行的命令应该可控。
