ChanGeZ

摘要： 学习JAVA安全漫谈，理解CC利用链，按步骤理解每一个部分，每一个点为什么是这样的。 P神学习⽅式的探索 有时候想要学习⼀个东⻄，⽹上搜索⼀下，发现有教程，于是跟着做⼀遍。这样⼀来，你会发现⽹上⼤部分Java反序列化“教程”、“⼊⻔”通常上来先了解Java反序列化是什么，然后很快开始讲Commons 阅读全文

摘要： 上篇提到了CC0.5 使用的是TransformedMap，但是如果阅读ysoserial的源码会发现，CommonCollections1并没有用到TransformedMap，而是LazyMap。 LazyMap是什么 LazyMap和TransformedMap类似，都来自于Common-Co 阅读全文

摘要： 使用条件 无外部依赖，使用jdk内部类，无jdk版本限制 核心原理 触发点是反序列化，因此起点肯定在某个类readObject方法，直接看ysoserial的payload： 看代码可以知道返回的是一个HashMap。也就是说首先漏洞点会先对一个HashMap执行反序列化，第一个执行的就是HashM 阅读全文

摘要： 一、背景知识 XML介绍 XML是一种非常流行的标记语言，ML就是Markup Language 标记语言的缩写，顾名思义标记语言就是把普通的文本加上标记，让计算机能够识别。这里XML是可扩展标记语言，主要用于配置文件，其他的还有HTML（超文本标记语言）,XHTML(可扩展超文本标记语言)，主要用 阅读全文

摘要： 反序列化漏洞例子 0x00、fastJSON练习 参考上面的链接，写一个类，并用fastJSON序列化。查阅API，fastJSON的序列化函数有： 关键就在SerializerFeature... SerializerFeature.WriteClassName是JSON.toJSONString 阅读全文

摘要： sicket编写了聊天小程序和猜数字大小小游戏，发现了一些问题，send函数参数中的字符串大小要用strlen（）来计算 而recv（）要用sizeof（）来计算或者指定大小，否则在多次接收发送中会出现问题只有第一次是正常的发送接收。 阅读全文

摘要： package demo;import javax.swing.JOptionPane;class NotNumber extends Exception{}public class Credit { public static void main(String[] args){ ... 阅读全文

摘要： class Mammal{}class Dog extends Mammal {}class Cat extends Mammal{}public class TestCast{ public static void main(String args[]) { Mammal m; Dog d=new... 阅读全文

摘要： 随机生成10个数，填充一个数组，然后用消息框显示数组内容，接着计算数组元素的和，将结果也显示在消息框中。设计思路：用random函数随机生成10个数存入数组中，再将10个数转化为字符串依次连接起来存在output中用消息框输出，再用循环求和输出源代码：package demo;import java... 阅读全文

摘要： 基本思想：加密是把字符串中的每一个字符+3解密是每一个字符-3源代码：package demo;import java.util.Scanner;class Encryption{ String a; public void encryption(String q){ String string=... 阅读全文