摘要: 学Java安全的时候发现好多师傅分析漏洞的时候直接就给了一段Base64字节码,然后虽然一些师傅也会给出来对应的代码,但是有些小白是不知道怎么把一个java类转成Base64字节码的。 对于刚学Java安全的小白来说真的太不友好啦,也不知道这玩意儿是什么意思,所以这里写一个小工具,专门用来把Java 阅读全文
posted @ 2024-12-09 16:02 Erosion2020 阅读(5) 评论(0) 推荐(0) 编辑
摘要: 本篇是上一篇的续篇,主要是对上一篇中的额外内容进行补充 上一篇地址:log4j2 变量注入漏洞(CVE-2021-44228) 漏洞绕过 这里主要补充一下知道服务可以触发log4j2漏洞,但是漏洞无法被利用的情况,然后罗列了一些常见的绕过方法。 绕过WAF防御 有的WAF在漏洞出现后针对提出 ${ 阅读全文
posted @ 2024-12-03 19:48 Erosion2020 阅读(15) 评论(0) 推荐(0) 编辑
摘要: log4j2 JNDI注入漏洞(CVE-2021-44228) 概述 本文非常详细的从头到尾debug了CVE-2021-44228漏洞的利用过程,喜欢的师傅记得点个推荐~ Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被 阅读全文
posted @ 2024-12-03 14:50 Erosion2020 阅读(347) 评论(0) 推荐(2) 编辑
摘要: 概述 最近感冒了,不想BB太多,直接开始调试吧,先写个Filter来调试 Filter代码 新建一个FilterShell类,代码如下: 一个类如果想要成为Filter则需要继承Filter,然后重写init、doFilter、destory这三个方法,分别表示了 init::Filter在初始化时 阅读全文
posted @ 2024-11-29 16:42 Erosion2020 阅读(186) 评论(0) 推荐(0) 编辑
摘要: 概述 Listener是Java Web App中的一种事件监听机制,用于监听Web应用程序中产生的事件,例如,在ServletContext初始化完成后,会触发contextInitialized事件,实现了ServletContextListener接口的Listener就可以接收到事件通知,可 阅读全文
posted @ 2024-11-28 22:32 Erosion2020 阅读(30) 评论(0) 推荐(0) 编辑
摘要: emmm.....本篇写的还不是很完善,学着后边的忘着后边的,后续边学边完善吧........ 概述 如果你不了解IDEA调试Tomcat和Tomcat各组件概念可以参考我的博客:JAVA WEB环境搭建 和 Tomcat各组件解析 由前边我们学习Tomcat知道了Container中的Contex 阅读全文
posted @ 2024-11-28 19:41 Erosion2020 阅读(199) 评论(0) 推荐(1) 编辑
摘要: 概述 写了一半想起来之前刚学JAVA开发的时候,写过一篇博客讲的是从0配置JAVA WEB开发环境,因为工作的时候用的都是现成的环境,要不就是Springboot一把梭了,所以具体的配置时至今日也忘的差不多了。 当然那篇写的更全一些,更适合什么都不懂的小白,这篇针对于网络安全学习的,只关注JAVA 阅读全文
posted @ 2024-11-28 13:54 Erosion2020 阅读(43) 评论(0) 推荐(1) 编辑
摘要: 概述 本篇文章是https://juejin.cn/post/7055306172265414663,这篇文章的再总结,剔除了与Java安全研究没太大关系的内容,对JAVAWEB中的Servlet、Filter、Listener以及Connector、Container则加重了篇幅。 Servlet 阅读全文
posted @ 2024-11-28 10:25 Erosion2020 阅读(86) 评论(0) 推荐(0) 编辑
摘要: 概述 Java SPI(Service Provider Interface)是一种 服务发现机制,用于实现模块化、可插拔式的设计。在 Java 中,它允许程序在运行时动态地加载和调用实现类,而不是在编译时硬编码依赖。这种机制在 JDK 内置库 和 第三方库 中被广泛使用,例如 JDBC 驱动加载、 阅读全文
posted @ 2024-11-26 22:56 Erosion2020 阅读(225) 评论(0) 推荐(1) 编辑
摘要: 概述 临时记录以下JNDI注入的学习笔记,最近学的东西太多了,感觉知识要不进脑子了,学的东西并没有完全理解,对原理还有应用的攻击手法理解都不是很深...... 推荐先理解JNDI的基本概念,然后再去学习JNDI的原理以及注入什么的,要不然真的学起来非常难受...... 我这里是缝合了以下博客来总结的 阅读全文
posted @ 2024-11-26 22:09 Erosion2020 阅读(21) 评论(0) 推荐(0) 编辑