11 2024 档案
摘要:概述 最近感冒了,不想BB太多,直接开始调试吧,先写个Filter来调试 Filter代码 新建一个FilterShell类,代码如下: 一个类如果想要成为Filter则需要继承Filter,然后重写init、doFilter、destory这三个方法,分别表示了 init::Filter在初始化时
阅读全文
摘要:概述 Listener是Java Web App中的一种事件监听机制,用于监听Web应用程序中产生的事件,例如,在ServletContext初始化完成后,会触发contextInitialized事件,实现了ServletContextListener接口的Listener就可以接收到事件通知,可
阅读全文
摘要:emmm.....本篇写的还不是很完善,学着后边的忘着后边的,后续边学边完善吧........ 概述 如果你不了解IDEA调试Tomcat和Tomcat各组件概念可以参考我的博客:JAVA WEB环境搭建 和 Tomcat各组件解析 由前边我们学习Tomcat知道了Container中的Contex
阅读全文
摘要:概述 写了一半想起来之前刚学JAVA开发的时候,写过一篇博客讲的是从0配置JAVA WEB开发环境,因为工作的时候用的都是现成的环境,要不就是Springboot一把梭了,所以具体的配置时至今日也忘的差不多了。 当然那篇写的更全一些,更适合什么都不懂的小白,这篇针对于网络安全学习的,只关注JAVA
阅读全文
摘要:概述 本篇文章是https://juejin.cn/post/7055306172265414663,这篇文章的再总结,剔除了与Java安全研究没太大关系的内容,对JAVAWEB中的Servlet、Filter、Listener以及Connector、Container则加重了篇幅。 Servlet
阅读全文
摘要:概述 Java SPI(Service Provider Interface)是一种 服务发现机制,用于实现模块化、可插拔式的设计。在 Java 中,它允许程序在运行时动态地加载和调用实现类,而不是在编译时硬编码依赖。这种机制在 JDK 内置库 和 第三方库 中被广泛使用,例如 JDBC 驱动加载、
阅读全文
摘要:概述 临时记录以下JNDI注入的学习笔记,最近学的东西太多了,感觉知识要不进脑子了,学的东西并没有完全理解,对原理还有应用的攻击手法理解都不是很深...... 推荐先理解JNDI的基本概念,然后再去学习JNDI的原理以及注入什么的,要不然真的学起来非常难受...... 我这里是缝合了以下博客来总结的
阅读全文
摘要:这是对网上一些文章和视频的再总结,可以参考以下资料,师傅们分析的都挺详细了,我这就是记录一下师傅们写的博客。 廖雪峰 - 给了简单的小例子,了解即可 B站视频(白师傅) 先知社区(小阳师傅) - 讲的比较详细,偏理论,可以结合白师傅的视频学习理论 g师傅 - 攻击手法讲的特别详细,学完理论后看这篇可
阅读全文
摘要:ASM这块感觉学起来确实有点理论,内容也是比较抽象的,学完之后都是模模糊糊的,后边如果用到了再回头来复习吧,这里就写个博客记录一下。 参考:https://xz.aliyun.com/t/13334?time__1311=GqmxuiDQiQomqGXeCxUxOxcmkDkSKW4D 大佬介绍的很
阅读全文
摘要:Java中,代理模式是一种常见的设计模式,用于为某对象提供一种代理,以控制对该对象的访问。根据代理类的实现方式,可以分为静态代理和动态代理。以下将分别介绍这两种方式,并进行对比分析。 静态代理 静态代理是指在编译时期就已经确定了代理类的实现。代理类需要实现与目标对象相同的接口,并持有目标对象的引用,
阅读全文
摘要:概要说明 注:本篇文章是网上多篇文章的缝合,把我觉得写的不错的,对我理解ClassLoader有帮助的内容写到博客中,同时我尽量让一些学Java安全的同学更详细的学习ClassLoader。 参考文章(1):https://www.cnblogs.com/luckforefforts/p/13642
阅读全文
摘要:基本概念 反射(Reflection)是 Java 中的一种机制,它允许程序在运行时动态地访问类的结构和行为,包括类、方法、字段、构造函数等,从而实现动态调用和操作。 通过反射,程序不需要在编译时就确定使用的类、方法或字段,而是在运行时动态地加载和使用它们。反射广泛用于框架设计、工具开发和动态操作等
阅读全文
摘要:环境准备 在调试代码的过程中,因为漏洞触发的版本可能均不相同,所以可能会用到不同版本的JDK,我记录一下我调试过程中所有的JDK,同时这里记录一下不同版本JDK的下载地址 JDK7u80 JDK8u66、8u71、8u73、8u121、8u231、8u431 Oracle官方JDK8下载 华为JDK
阅读全文
摘要:环境准备 JDK1.8(8u421) JDK8的版本应该都没什么影响,这里直接以我的镜像为准了、commons-beanutils:commons-beanutils:1.9.2、commons-collections:commons-collections:3.2、javassist:javass
阅读全文
摘要:环境准备 JDK1.8(8u421)我以本地的JDK8版本为准、commons-collections(3.x 4.x均可这里使用3.2版本) cc3.2: <dependency> <groupId>commons-collections</groupId> <artifactId>commons
阅读全文
摘要:环境准备 JDK1.8(8u421)我以本地的JDK8版本为准、commons-collections(3.x 4.x均可这里使用3.2版本) cc3.2: <dependency> <groupId>commons-collections</groupId> <artifactId>commons
阅读全文
摘要:环境准备 JDK1.8(8u421)我以本地的JDK8版本为准、commons-collections(3.x 4.x均可这里使用3.2版本) cc3.2: <dependency> <groupId>commons-collections</groupId> <artifactId>commons
阅读全文
摘要:环境准备 JDK1.8(8u421)这里ysoserial没有提及JDK版本的影响,我以本地的JDK8版本为准、commons-collections4(4.0 以ysoserial给的版本为准)、javassist(3.12.1.GA) cc4.0、ClassPool <dependency> <
阅读全文
摘要:环境准备 JDK1.7(7u80)、commons-collections(3.x 4.x均可这里使用3.2版本)、javassist(3.12.1.GA) JDK:https://repo.huaweicloud.com/java/jdk/7u80-b15/jdk-7u80-windows-x64
阅读全文
摘要:环境准备 JDK1.8(8u421)这里ysoserial,我以本地的JDK8版本为准、commons-collections4(4.0 以ysoserial给的版本为准)、javassist(3.12.1.GA) cc4.0、ClassPool <dependency> <groupId>org.
阅读全文
摘要:准备环境 JDK1.7(7u80)、commons-collections(3.x 4.x均可这里使用3.2版本) JDK:https://repo.huaweicloud.com/java/jdk/7u80-b15/jdk-7u80-windows-x64.exe cc3.2: <dependen
阅读全文
摘要:本人在学习Java反序列化中,发现网上大多都是自己分析一些逻辑内容,导致可能每一个版本的payload都不相同,对于学习时并不友好,所以我在学习了cc链之后,准备总结一下cc链中的内容,并以ysoserial的代码为主来记录调试分析ysoserial中的payload代码,并以此为学习路线。 yso
阅读全文
