java类加载机制学到后面发现自己还是基础不扎实,回来重新学一下。 类加载机制Java虚拟机把描述类的数据从Class文件加载到内存,并对数据进行校验、转换解析和初始化,最终形成可以被虚拟机直接使用的Java类型,这个过程被称作虚拟机...
解析excel文件引起的xxe
解析excel文件引起的xxe老洞了 分析复现一下。 编号 CVE-2014-3529 需要poi-ooxml-3.10-FINAL.jar以下版本 复现Microsoft Office 从 2007 版本引入了新的开放的 XML 文...
CVE-2019-14439以及[NPUCTF2020]EzShiro复现
CVE-2019-14439以及[NPUCTF2020]EzShiro复现CVE-2019-14439是由logback 引起的 jndi 注入,找不到详细分析的文章,对着网上的poc简单看了一下。 在ch.qos.logback.c...
fastjson反序列化 1.2.22-1.2.47
fastjson反序列化 1.2.22-1.2.47漏洞原理fastjson支持使用@type指定反序列化的目标类,如下演示: EvilClac.java 12345678910111213package fastjson;publi...
java Filter内存马
java Filter内存马去补了点之前javaweb的知识回来看内存马 Tomcat内存马主要利用了Tomcat的部分组件会在内存中长期驻留的特性,只要将我们的恶意组件注入其中,就可以一直生效,直到容器重启。 javaweb三大组件...
jdk7u21反序列化
jdk7u21反序列化前置知识都已经知道,只有一个AnnotationInvocationHandler类之前学CC链的时候用到过,记不太清了,先重新学 AnnotationInvocationHandler 这次利用的是invoke...
LADP+JNDI注入
LADP+JNDI注入除了RMI服务之外,JNDI还可以对接LDAP服务,LDAP也能返回JNDI Reference对象,利用过程与上面RMI Reference基本一致,只是lookup()中的URL为一个LDAP地址:ldap:...
java fastjson基础
java fastjson基础fastjson简介Fastjson是阿里巴巴公司开源的速度最快的Json和对象转换工具,一个Java语言编写的JSON处理器。 它采用一种“假定有序快速匹配”的算法,是号称Java中最快的json库。 ...
java RMI基础
RMI学习继续补之前的笔记 RMI是什么RMI(Remote Method Invocation),远程方法调用。实际上就是在一个java虚拟机上调用另一个java虚拟机的对象上的方法。 RMI依赖的通信协议为JRMP(Java Re...