java反序列化之fastjson

引用fastjson FastJson<=1.2.68RCE原理详细分析 fastjson 1.2.80 漏洞浅析及利用payload FastJson与原生反序列化 FastJson与原生反序列化(二) 高版本Fastjson:Ge...

java反序列化

java反序列化之jndi

引用Java安全学习——JNDI注入 JNDI概述JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口。JNDI提供统一的客户端API,并由管理者将...

java反序列化

java反序列化之RMI/JRMP反序列化漏洞

引用Java安全之RMI反序列化 攻击注册中心客户端与注册中心进行交互可以使用以下几种方式: list bind rebind unbind lookup 这几种方法位于RegistryImpl_Skel.class文件中的dispatch方法中...

java反序列化

java反序列化之RMI专题

引用教程:RMI - Java™教程 基于Java反序列化RCE - 搞懂RMI、JRMP、JNDI 如何创建java rmi环境 JAVA安全基础(四)– RMI机制 RMI概述以下是wiki的描述: 123Java远程方法调用,即Java RMI...

java反序列化

java反序列化之CommonsBeanutils

引用Java反序列化之CommonsBeanutils 依赖导入首先我们先导入依赖 12345<dependency> <groupId>commons-beanutils</groupId> <...

java反序列化

java反序列化之shiro反序列化

感谢P神提供的环境:shirodemo 环境部署具体过程这边看 账号密码:root/secret 序列化Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie;数据通过Cookie中...

java反序列化

JavaDeserializeLabs

Lab1在java中对于bash命令的执行会把它按照空格分成三部分,也就是反弹shell命令中只能存在两个空格 序列化脚本如下: 12345678910111213141516171819202122232425package yxxx.javase...

Write-Up

JDK动态代理

静态代理首先定义一个接口,实现类,以及一个代理类 12345package com.sherlock;public interface IUser { void show();} 123456789101112packag...

java反序列化

java类加载

静态代码块的执行在上文JDK动态代理的代码中,在Person类定义中添加以下几点: 一个静态属性id,一个静态方法,一个静态代码块,一个构造代码块 12345678910public static int id;public static void ...

java反序列化

java反序列化CommonsCollections

前言12Commons Collections <= 3.2.1jdk <= 8u65 CC1危险的方法调用:Transform.transform() Transformer接口,该接口主要就是定义了一个接口方法transform()...

java反序列化
1234569