随笔分类 -  java安全

Java Agent到内存马(二)
发表于 2022-10-11 18:23阅读:301评论:0推荐:0
摘要:原文请关注公众号: https://mp.weixin.qq.com/s/DwgKs1jM7g-VwNoECZg1jQ 前言 接着上一篇继续分析内存马实现原理。 Instrumentation Instrumentation是JVMTIAgent(JVM Tool Interface Agent)的 阅读全文 »
posted @ 2022-10-11 18:23 N0r4h 阅读(301) 评论(0) 推荐(0) 编辑
Java Agent到内存马(一)
发表于 2022-10-07 23:45阅读:212评论:0推荐:0
摘要:原文请关注公众号: https://mp.weixin.qq.com/s/KA1Ip58fpaYEqUV-nRzWXw 关于Java Agent 介绍 在 jdk 1.5 之后引入了 java.lang.instrument 包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、 阅读全文 »
posted @ 2022-10-07 23:45 N0r4h 阅读(212) 评论(0) 推荐(0) 编辑
SPEL注入分析
发表于 2022-03-09 17:18阅读:827评论:0推荐:0
摘要:前言 本篇探讨一下关于SPEL注入漏洞实现命令执行的相关知识。 0x01 关于SPEL SPEL简介 Spring Expression Language(简称SpEL)是一种强大的表达式语言,支持在运行时查询和操作对象图。语言语法类似于Unified EL,但提供了额外的功能,特别是方法调用和基本 阅读全文 »
posted @ 2022-03-09 17:18 N0r4h 阅读(827) 评论(0) 推荐(0) 编辑
CommonsCollections1链分析
发表于 2022-03-07 14:30阅读:80评论:0推荐:0
摘要:前言 之前的urldns链是反序列化利用链中比较简单的,在实战中还是需要能直接执行命令的链,本篇主要分析CC1这个链。 0x01 POC1执行 public class CommonsCollections1 { public static void main(String[] args) thro 阅读全文 »
posted @ 2022-03-07 14:30 N0r4h 阅读(80) 评论(0) 推荐(0) 编辑
JWT认证安全分析
发表于 2022-02-16 22:31阅读:224评论:0推荐:1
摘要:前言 0x01 JWT相关 1. JWT定义 JWT 是 JSON web token ,为了在网络应用环境中传递声明而执行的一种基于json的开放标准。非常适用于分布式的单点登录场景。主要是用来校验身份提供者和服务提供者之间传递的用户身份信息。 2. JWT结构 jwt由三个部分组成:header 阅读全文 »
posted @ 2022-02-16 22:31 N0r4h 阅读(224) 评论(0) 推荐(1) 编辑
URLDNS链分析
发表于 2022-01-24 20:14阅读:866评论:0推荐:0
摘要:前言 URLDNS链算是反序列化利用链中比较简单的了,这条链的主要作用就是用于判断是否存在Java反序列化漏洞。因为没有jdk版本限制,并且只依赖原生类,所以在测试过程中用的还是很多的,本篇记录分析一下这条链。 0x01 URLDNS链使用 这里为了方便调试,直接把ysoserial项目导入idea 阅读全文 »
posted @ 2022-01-24 20:14 N0r4h 阅读(866) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示