摘要:
# C# 基础 ## C#项目创建 这里注意win10虚拟机需要更新下补丁,不然直接下载`visual studio 2022`会显示版本不支持 
评论(0)
推荐(0)
摘要:
Java安全之SnakeYaml反序列化分析 写在前面 首发在跳跳糖:https://tttang.com/archive/1591/ 学习记录 SnakeYaml简介 snakeyaml包主要用来解析yaml格式的内容,yaml语言比普通的xml与properties等配置文件的可读性更高,像是S 阅读全文
posted @ 2022-05-05 16:12
Zh1z3ven
阅读(4815)
评论(1)
推荐(1)
该文被密码保护。 阅读全文
posted @ 2022-04-02 17:49
Zh1z3ven
阅读(1)
评论(0)
推荐(0)
摘要:
CVE-2022-22947 SpringCloud GateWay SpEL RCE 写在前面 学习记录 环境准备 IDEA的话需要下载Kotlin插件的,针对于这个环境的话,Kotlin插件对IDEA的版本有要求,比如IDEA 2020.1.1的版本就不行,搭环境的时候需要注意下。 git cl 阅读全文
posted @ 2022-04-02 17:43
Zh1z3ven
阅读(1139)
评论(1)
推荐(1)
摘要:
Java安全之JavaAgent内存马 Tomcat Filter 水一篇学习笔记 看网上大多数文章是去Hook的catalina.jar!/org/apache/catalina/core/ApplicationFilterChain.class#doFilter方法,因为internalDoFi 阅读全文
posted @ 2022-03-08 23:12
Zh1z3ven
阅读(1127)
评论(2)
推荐(0)
摘要:
Java安全之Java Agent 文章首发:https://sec-in.com/article/1690 About Java Agent Java Agent的出现 在JDK1.5版本开始,Java增加了Instrumentation(Java Agent API)和JVMTI(JVM Too 阅读全文
posted @ 2022-02-27 08:26
Zh1z3ven
阅读(911)
评论(0)
推荐(0)
摘要:
Java安全之BCEL ClassLoader 写在前面 BCEL平常在测试反序列化的时候也经常会用到,比如延时测Gadget以及在某些场景下执行命令不是那么顺手的情况下选择BCEL去打内存马,就像Fastjson和Thymeleaf SSTI这种。以前也只是用到这个BCEL但是没有仔细学习过,下面 阅读全文
posted @ 2022-02-08 00:07
Zh1z3ven
阅读(5247)
评论(0)
推荐(0)
摘要:
Java安全之C3P0利用与分析 写在前面 很久以前就听nice0e3师傅说打Fastjson可以试试C3P0,当时还不会java(虽然现在也没会多少)也就没有深究。最近调试Fastjson的漏洞,又想到了这个点,就拿出来学习下。 C3P0 Gadget C3P0中有三种利用方式 http base 阅读全文
posted @ 2022-01-27 17:59
Zh1z3ven
阅读(1979)
评论(0)
推荐(0)
摘要:
Fastjson 反序列化漏洞分析 1.2.25-1.2.47 写在前面 上一篇文,主要跟了下Fastjson中反序列化的逻辑,以及在1.2.22-1.2.24版本中TemplatesImpl和JdbcRowSetImpl两条链,这篇记录下各个版本的Bypass补丁和绕过的复现,打算后面再写篇文,整 阅读全文
posted @ 2022-01-25 14:31
Zh1z3ven
阅读(1608)
评论(0)
推荐(1)
摘要:
Fastjson反序列化漏洞分析 1.2.22-1.2.24 Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse 阅读全文
posted @ 2022-01-21 23:54
Zh1z3ven
阅读(947)
评论(0)
推荐(0)
