JavaDeserializeLabsLab1在java中对于bash命令的执行会把它按照空格分成三部分,也就是反弹shell命令中只能存在两个空格 序列化脚本如下: 12345678910111213141516171819202122232425package yxxx.javase...2024-11-15Write-Up
JDK动态代理静态代理首先定义一个接口,实现类,以及一个代理类 12345package com.sherlock;public interface IUser { void show();} 123456789101112packag...2024-11-06java反序列化
java类加载静态代码块的执行在上文JDK动态代理的代码中,在Person类定义中添加以下几点: 一个静态属性id,一个静态方法,一个静态代码块,一个构造代码块 12345678910public static int id;public static void ...2024-10-24java反序列化
java反序列化CommonsCollections前言12Commons Collections <= 3.2.1jdk <= 8u65 CC1危险的方法调用:Transform.transform() Transformer接口,该接口主要就是定义了一个接口方法transform()...2024-10-24java反序列化
Java序列化、反序列化以及反射引用java序列化,看这篇就够了 大白话说Java反射:入门、使用、原理 - 陈树义 - 博客园 序列化的含义、意义及使用场景 序列化:将对象写入到IO流中 反序列化:从IO流中恢复对象 意义:序列化机制允许将实现序列化的Java对象转换位字节序列,...2024-10-18开发
MoeCTF复盘前言本篇复盘仅仅是针对于本次比赛中我不会的题目进行一次复盘,对于做出来的题目并不会写上相关的题解 并且仅仅是web方向的题目 Re: 从零开始的 XDU 教书生活该题首先要对题目提供的源码理解透彻,明白每个函数的功能 题目要求是要让每个学生都正常签到...2024-10-15Write-Up
JWT漏洞学习借鉴JWT渗透姿势 JWT(JSON Web Token)是一种无状态认证机制,通过将用户身份和权限信息存储在令牌中,实现安全地在网络应用间传递信息。它具有跨域支持、扩展性和灵活性、安全性以及可扩展的验证方式等特点,成为现代应用开发中重要的认证和授...2024-10-08CTF
代码审计-某微商城系统RCE漏洞前言本次审计的项目有提供部署的相关步骤和视频教程,但不知为何我自己在搭建的时候会出现莫名的错误导致环境搭建不起来,因此只能fofa上面搜一个来进行测试 fofa语句:"/Mao_Public/js/jquery-2.1.1.min.js&q...2024-08-24代码审计
代码审计-某TP6对接U支付系统前言本次审计的是一个基于tinkphp6框架的U支付系统 在fofa上面搜索:"/usdtmerchant/login/reg.html"便可以找到相关的网站,要注意的是有些网站已经进行了改进,再也不能利用该文章中的漏洞了 前台s...2024-08-17代码审计
