11 2020 档案
摘要:Java学习之Swing Gui编程 0x00 前言 前面的使用的Gui是基于Awt 去进行实现,但是在现实写Gui中 AWT实际运用会比较少。 上篇:Java学习之AWT GUI编程 上上篇:Java安全之JSP动静态免杀思路实现与服务端编写 0x01 Swing 概述 AWT 和Swing 区别
阅读全文
摘要:Java安全之Commons Collections4分析 文章首发:Java安全之CC4分析 0x00 前言 继续来分析一波CC4的链,在写该文前,看到网上大部分的文章都只给了一个调用链和POC。其实看CC4调用链的时候,能看出来CC4的调用链用到的也是前面的一些类去构造,只不过把CC2 和CC3
阅读全文
摘要:Java安全之Jdk7u21链分析 文章首发:Java安全之Jdk7u21链分析 0x00 前言 其实该链是想拿到后面再去做分析的,但是学习到Fastjson这个漏洞,又不得不使用到该链。那么在这里就来做一个简单的分析。 在前面分析的利用链中,其实大致都差不多都是基于InvokerTransform
阅读全文
摘要:Java学习之AWT GUI编程 0x00 前言 既然前面提到了要重写冰蝎和一些反序列化工具,当然就不能随便说说而已。在编写这些工具还是要使用图形化工具来的方便一些,所以提前把GUI的框架给学习一遍。 其实重写webshell工具这个也就是实现部分,现在就差个gui框架。 这里其实是已经完善了单向加
阅读全文
摘要:Java安全之JNDI注入 文章首发:Java安全之JNDI注入 0x00 前言 续上篇文内容,接着来学习JNDI注入相关知识。JNDI注入是Fastjson反序列化漏洞中的攻击手法之一。 0x01 JNDI 概述 JNDI(Java Naming and Directory Interface,J
阅读全文
摘要:Java安全之RMI反序列化 0x00 前言 在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本篇文来分析一下RMI机制。 在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RM
阅读全文
摘要:浅析Java反序列化漏洞议题 一次部门、团队内部分享议题,拿出来分享一下 反序列化漏洞历史 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss
阅读全文
摘要:Java安全之Commons Collections7分析 0x00 前言 本文讲解的该链是原生ysoserial中的最后一条CC链,但是实际上并不是的。在后来随着后面各位大佬们挖掘利用链,CC8,9,10的链诞生,也被内置到ysoserial里面。在该链中其实和CC6也是类似,但是CC7利用链中是
阅读全文
