摘要:
参考链接 https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/CommonsCollections4.java https://www.bilibili.com/video/BV1NQ4y 阅读全文
摘要:
参考链接 https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/CommonsCollections2.java 环境搭建 CommonCollections4 jdk8u65 利用链分析 阅读全文
摘要:
参考链接 https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/CommonsCollections5.java 环境搭建 Commons.Collections 3.2.1 jdk8u65 阅读全文
摘要:
前言 时间有限,目前只跟完了RMI的源码分析部分,攻击和绕过只有下周再来了。 不过跟源码也已经发现了一些有意思的反序列化点,也算是为后面学习打基础了。 更新:RMI的攻击分析也差不多结束了,还差JEP290的绕过不太想看,我要去修手机了。 源码分析 看了一些师傅的文章,发现RMI交互这块内容写得都异 阅读全文
摘要:
前言 fastjson是阿里巴巴旗下的一个Java库,用于Java对象和JSON字符串之间的转换。 这个库从2017-2022年,陆陆续续爆出了20多个反序列化RCE。 官方采用黑名单的方式修复漏洞,这导致出现一系列的bypass= = 序列化分析 package Pojo; import java 阅读全文
摘要:
参考链接 https://www.bilibili.com/video/BV1iF411b7bD 环境搭建 搭环境看的这位师傅的,有图有步骤,爱了。 https://fireline.fun/2021/05/21/Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6 阅读全文
摘要:
参考链接 https://blog.csdn.net/qq_35733751/article/details/119862728 https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/Com 阅读全文