Spring IOC学习Spring IOC这里需要注意的是,IOC和Spring IOC不能混为一谈,IOC是一种概念和设计思路,Spring实现了IOC的思想,是IOC的实践。 我们通常提到的Spring IOC,实际上是指Spr...
Tomcat几种回显
Tomcat几种回显文件描述符回显00theway师傅的思路 https://www.00theway.org/2020/01/17/java-god-s-eye/ 在LINUX环境下,可以通过文件描述符”/proc/self/fd/...
《深入理解java虚拟机》读书笔记1-类文件结构
《深入理解java虚拟机》读书笔记1-类文件结构最近在看周志明老师写的《深入理解java虚拟机》,学到了很多,也有很多没理解的地方,觉得需要做读书笔记。 无关性基石java虚拟机不与包括java语言在内的任何程序语言绑定,直至今日,商...
jndi加载本地class绕过高版本限制
jndi加载本地class绕过高版本限制前言两个月前做[NPUCTF2020]EzShiro的时候遇到过,是一个jackson的反序列化,但题目的jdk版本过高导致无法远程加载恶意class,所以得加载本地class。 当时用的是ys...
weblogic-CVE-2017-10271
weblogic-CVE-2017-10271环境搭建关于weblogic环境搭建,非常推荐qax的一个工具 https://github.com/QAX-A-Team/WeblogicEnvironment CVE-2017-102...
Express+lodash+ejs原型链污染RCE
Express+lodash+ejs原型链污染RCElodash.defaultsDeep 方法造成的原型链污染(CVE-2019-10744)2019 年 7 月 2 日,Snyk 发布了一个高严重性原型污染安全漏洞(CVE-201...
CVE-2022-21824-console.table原型链污染
CVE-2022-21824这次Dice2022和vnctf2022都出了过相关的题目 描述 其实就是说console.table也能污染原型链了,但是危害很小,因为只允许将空字符串分配给对象原型的数字键。 本地调试之后,其实就是将...
Dubbo HttpInvokerServiceExporter反序列化
Dubbo HttpInvokerServiceExporter反序列化漏洞Dubbo简介Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于 提供高性能和透明化的RPC远程服务...