摘要: # Spring内存码 依然不会配环境orz,干脆直接拿以前那个java-sec-code了,springboot版本2.1.5.RELEASE spring内存码基础的有controller型和interceptor型,两个组件都可以动态添加,注入思路和以前一样,所以先看初始化的流程 ## 一、C 阅读全文
posted @ 2023-08-02 14:55 卡拉梅尔 阅读(95) 评论(0) 推荐(0) 编辑
摘要: # Tomcat内存码 java web和tomcat基础的前置知识可以看[这篇](https://drun1baby.top/2022/08/19/Java%E5%86%85%E5%AD%98%E9%A9%AC%E7%B3%BB%E5%88%97-01-%E5%9F%BA%E7%A1%80%E5% 阅读全文
posted @ 2023-07-19 09:53 卡拉梅尔 阅读(31) 评论(0) 推荐(0) 编辑
摘要: # SnakeYaml反序列化 https://github.com/JoyChou93/java-sec-code java有关的一个本地靶场,看了下shiro、fastjson、sql注入啥的都有,就当练练代码审计吧。在windows上起环境按[这个](https://blog.csdn.net 阅读全文
posted @ 2023-07-06 16:19 卡拉梅尔 阅读(657) 评论(0) 推荐(0) 编辑
摘要: # fastjson反序列化 ## 前置知识 fastjson是阿里巴巴开发的一个处理json数据的开源库,简简单单解析一个json字符串是自然不会造成命令执行的,问题在于很多库为了实用性会额外实现一些功能,造成了攻击点 ### fastjson简单使用 引入依赖,先用古老版本 ```xml com 阅读全文
posted @ 2023-06-19 16:12 卡拉梅尔 阅读(397) 评论(0) 推荐(0) 编辑
摘要: # JNDI注入 ## 前置知识 ### JNDI JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口。**可以通过字符串来锁定一个对象** **JNDI 支持的服务主要有 阅读全文
posted @ 2023-04-24 20:14 卡拉梅尔 阅读(250) 评论(0) 推荐(0) 编辑
摘要: # RMI > RMI(Remote Method Invocation),为远程方法调用,是允许运行在一个Java虚拟机的对象调用运行在另一个Java虚拟机上的对象的方法。 这两个虚拟机可以是运行在相同计算机上的不同进程中,也可以是运行在网络上的不同计算机中。 ![1680097572722](h 阅读全文
posted @ 2023-04-16 20:03 卡拉梅尔 阅读(139) 评论(0) 推荐(0) 编辑
摘要: # JDBC反序列化 ## 前置知识 ### JDBC > JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必 阅读全文
posted @ 2023-04-11 23:35 卡拉梅尔 阅读(1390) 评论(0) 推荐(0) 编辑
摘要: Shiro反序列化 由于对idea的几个配置操作不太熟悉在搭环境时吃了不少苦 环境搭建 首先在github下载shiro1.2.4的包,在idea中打开,配置tomcat服务器,大致流程按照这个博主的 https://www.cnblogs.com/h0cksr/p/16189761.html 此外 阅读全文
posted @ 2023-04-10 18:54 卡拉梅尔 阅读(391) 评论(0) 推荐(0) 编辑
摘要: # java反序列化 初识java反序列化 ![1680263109848](https://img2023.cnblogs.com/blog/2929860/202304/2929860-20230404200737808-51075547.png) ObjectOutputStream类的wri 阅读全文
posted @ 2023-04-04 20:09 卡拉梅尔 阅读(138) 评论(0) 推荐(0) 编辑
点击右上角即可分享
微信分享提示