会员
周边
众包
新闻
博问
闪存
赞助商
Chat2DB
所有博客
当前博客
我的博客
我的园子
账号设置
会员中心
简洁模式
...
退出登录
注册
登录
海屿-uf9n1x
君子慎独,不欺暗室;藏锋守拙,厚积薄发。
博客园
首页
新随笔
联系
订阅
管理
随笔 - 28
文章 - 2
评论 - 0
阅读 -
11951
2023年10月8日
ThinkPHP全系列利用
摘要:
0x01 组件介绍 1.1 基本信息 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,遵循Apache 2开源协议发布,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ThinkPHP可以支
阅读全文
posted @ 2023-10-08 10:19 海屿-uf9n1x
阅读(283)
评论(0)
推荐(0)
编辑
2023年4月23日
内网渗透(八)横向移不动
摘要:
这篇文章介绍内网渗透种的横向移动。 在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全
阅读全文
posted @ 2023-04-23 17:45 海屿-uf9n1x
阅读(423)
评论(0)
推荐(0)
编辑
2023年4月22日
javasec(八)jndi注入
摘要:
JNDI JNDI(全称Java Naming and Directory Interface)是用于目录服务的Java API,它允许Java客户端通过名称发现和查找数据和资源(以Java对象的形式)。与主机系统接口的所有Java api一样,JNDI独立于底层实现。此外,它指定了一个服务提供者接
阅读全文
posted @ 2023-04-22 16:47 海屿-uf9n1x
阅读(925)
评论(0)
推荐(0)
编辑
2023年4月19日
python-SSTI模板注入
摘要:
一、python_SSTI模板注入介绍 ssti漏洞成因 ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而
阅读全文
posted @ 2023-04-19 17:54 海屿-uf9n1x
阅读(114)
评论(0)
推荐(0)
编辑
javasec(一)java反射
摘要:
这篇文章介绍javasec基础知识--java反射。 0x01 反射是什么? 反射是一种机制,利用反射机制动态的实例化对象、读写属性、调用方法、构造函数。 在程序运行状态中,对于任意一个类或对象,都能够获取到这个类的所有属性和方法(包括私有属性和方法),这种动态获取信息以及动态调用对象方法的功能就称
阅读全文
posted @ 2023-04-19 17:53 海屿-uf9n1x
阅读(55)
评论(0)
推荐(0)
编辑
javasec(五)URLDNS反序列化分析
摘要:
这篇文章介绍 URLDNS 就是ysoserial中⼀个利⽤链的名字,但准确来说,这个其实不能称作“利⽤链”。因为其参数不是⼀个可以“利⽤”的命令,⽽仅为⼀个URL,其能触发的结果也不是命令执⾏,⽽是⼀次DNS请求。ysoserial 打包成jar命令 mvn clean package -Dski
阅读全文
posted @ 2023-04-19 17:52 海屿-uf9n1x
阅读(124)
评论(0)
推荐(0)
编辑
javasec(四)序列化与反序列化基本原理
摘要:
title: javasec(四)序列化与反序列化基本原理 tags: javasec 反序列化 categories: javasec cover: 'https://blog-1313934826.cos.ap-chengdu.myqcloud.com/blog-images/1.jpeg' f
阅读全文
posted @ 2023-04-19 17:51 海屿-uf9n1x
阅读(111)
评论(0)
推荐(0)
编辑
javasec(三)类加载机制
摘要:
这篇文章介绍java的类加载机制。 Java是一个依赖于JVM(Java虚拟机)实现的跨平台的开发语言。Java程序在运行前需要先编译成class文件,Java类初始化的时候会调用java.lang.ClassLoader加载类字节码,ClassLoader会调用JVM的native方法(defin
阅读全文
posted @ 2023-04-19 17:51 海屿-uf9n1x
阅读(42)
评论(0)
推荐(0)
编辑
javasec(二)class文件结构
摘要:
这篇文章介绍java的class文件结构。 深入理解Java虚拟机(类文件结构) 我们所编写的每一行代码,要在机器上运行最终都需要编译成二进制的机器码 CPU 才能识别。但是由于虚拟机的存在,屏蔽了操作系统与 CPU 指令集的差异性,类似于 Java 这种建立在虚拟机之上的编程语言通常会编译成一种中
阅读全文
posted @ 2023-04-19 17:50 海屿-uf9n1x
阅读(60)
评论(0)
推荐(0)
编辑
javasec(六)RMI
摘要:
这篇文章介绍java-RMI远程方法调用机制。 RMI全称是Remote Method Invocation,远程⽅法调⽤。是让某个Java虚拟机上的对象调⽤另⼀个Java虚拟机中对象上的⽅法,只不过RMI是Java独有的⼀种RPC方法。看这篇之前可以先去看看RPC:https://www.bili
阅读全文
posted @ 2023-04-19 17:49 海屿-uf9n1x
阅读(39)
评论(0)
推荐(0)
编辑
下一页
公告
昵称:
海屿-uf9n1x
园龄:
3年6个月
粉丝:
15
关注:
15
+加关注
<
2025年3月
>
日
一
二
三
四
五
六
23
24
25
26
27
28
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1
2
3
4
5
搜索
常用链接
我的随笔
我的评论
我的参与
最新评论
我的标签
最新随笔
1.ThinkPHP全系列利用
2.内网渗透(八)横向移不动
3.javasec(八)jndi注入
4.python-SSTI模板注入
5.javasec(一)java反射
6.javasec(五)URLDNS反序列化分析
7.javasec(四)序列化与反序列化基本原理
8.javasec(三)类加载机制
9.javasec(二)class文件结构
10.javasec(六)RMI
我的标签
web安全
(21)
渗透测试
(20)
CTF
(11)
javaSec
(7)
RedTeam
(6)
Android
(3)
内网渗透
(3)
移动安全
(2)
面试
(2)
CTF-WP
(1)
更多
随笔分类
CTF(8)
javaSec(7)
RedTeam(6)
web安全(18)
面试(1)
渗透测试(21)
随笔档案
2023年10月(1)
2023年4月(20)
2023年3月(6)
2023年2月(1)
文章分类
面试(1)
阅读排行榜
1. AndroidApp加密数据明文抓取测试方法——hook方式(3410)
2. AndroidApp加固与脱壳(2051)
3. 信息收集(一)外网打点(1407)
4. FCKeditor编辑器漏洞(968)
5. javasec(八)jndi注入(925)
评论排行榜
1. 北京智游科技(爱加密)-渗透测试实习生-2023-02-27(1)
推荐排行榜
1. AndroidApp加密数据明文抓取测试方法——hook方式(2)
2. AndroidApp加固与脱壳(1)
3. 北京智游科技(爱加密)-渗透测试实习生-2023-02-27(1)
最新评论
1. Re:北京智游科技(爱加密)-渗透测试实习生-2023-02-27
111
--海屿-uf9n1x
点击右上角即可分享