1.CommonsCollections4利用链分析 这个利用链和前面的相比就真的没什么不一样的了。其实就是CommonsCollections2把InvokerTransformer换成了Insta......
Java代码审计学习笔记之ysoserial分析(四、CommonsCollections3利用链)
1.CommonsCollections3利用链测试这个利用链作者说:Variation on CommonsCollections1 that uses InstantiateTransforme......
Java代码审计学习笔记之ysoserial分析(三、CommonsCollections2利用链)
1.CommonsCollections2利用链测试这个利用链需要的commons-collections版本为commons-collections4:4.0。mvn如下: <......
Java代码审计学习笔记之ysoserial分析(二、CommonsCollections1利用链)
1.CommonsCollections简介Apache Commons Collections(简称CC)是一个Apache软件基金会的项目。该项目中包含了常用数据结构的扩展和补充。以Map接口为......
Java代码审计学习笔记之ysoserial分析(一、初探ysoserial+URLDNS分析)
1.ysoserial初探1.1 ysoserial简介提到java反序列化首先被提到的就是这个大名鼎鼎的项目——ysoserial。该项目是一个用于生成java反序列化payload的项目。是作......
Java代码审计学习笔记之JAVA基础系列(七、序列化与反序列化)
1.序列化简介所谓的序列化过程,就是将某一个对象按照某种约定好的结构转换成二进制数据进行传输,这段二进制数据中就包含了数据类型、和值的描述信息。使用序列化和反序列化能够方便数据的传输和存储。Java......
Java代码审计学习笔记之JAVA基础系列(六、RMI)
1.RMI简介RMI(Remote Method Invocation)即远程方法调用。 RMI的概念非常类似于windows操作系统中的RPC。它可以允许一个java虚拟机中的程序远程的调用另一个......
Java代码审计学习笔记之JAVA基础系列(五、静态代理与动态代理)
0.什么是代理?代理的概念其实非常类似于hook,正常hook的时候一般修改程序入口点,然后对输入进行一定的操作后调用被hook的函数。Java中的代理其实目的也是一样的,通过增加一个代理方法,在代......
Java代码审计学习笔记之JAVA基础系列(四、文件系统安全)
0.Java文件系统简介Java文件系统看起来还挺复杂,W3c上面和文件操作相关的就包括文件介绍、输入流、输出流、阅读器写入器。Java对于文件系统的实现主要包含两种方式:基于阻塞模式的IO的文件系......
Java代码审计学习笔记之JAVA基础系列(三、Unsafe)
0.Unsafe类概述Unsafe类存在于sun.misc.Unsafe,网上说这个类半天使半魔鬼,并且使用的时候虽然能再很大程度上提高效率。但是很有可能导致程序发生崩溃。Unsafe类为java提......