摘要:
原理 Java URLDNS链是通过readObject反序列化+DNS查询来确认反序列化利用点的存在。该利用链具有如下特点: [1] 只能发起 DNS 请求,不能进行其它利用。 [2] 不限制 jdk 版本,使用 Java 内置类,对第三方依赖没有要求。 [3] 目标无回显,可以通过 DNS 请求 阅读全文
摘要:
序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 为什么需要序列化? 序列化分为两大部分:序列化和反序列化。序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对 阅读全文