分类: java security

49 篇文章

JavaWeb学习-Spring全家桶(二)
文件结构&热部署 pom.xml 父级项目。一些maven的依赖会由它提供,这里显示的是spring boot的 这些是依赖,这几个是默认的,提供的是spring mvc的功能 <dependency> <groupId>org.springframework.boot</groupId> <art…
Java Web学习 – Spring全家桶(一)
Java Web学习 - Spring全家桶(一) 理论上应该全部学,但是这里好像只有springboot的资源,我试试能不能拿他写个站吧 Spring-boot 背景知识 原文链接:https://blog.csdn.net/qq_40147863/article/details/84194493 Spring Boot 是由 Pivotal 团…
Java 安全学习路线
Java 安全学习路线 前言: 参考n1ar4师傅的视频,讲的很有水平于是做了下笔记 “假如你能够完全掌握我说的这些,哪怕是在如今这个很卷的年代,也可以找到一份满意的工作” 参考: B站最全的Java安全学习路线_哔哩哔哩_bilibili idea idea安装,如何调试,常见bug如何解决 Maven Maven安装配置 常见bug解决 如何加…
c3p0反序列化
c3p0反序列化 参考JAVA反序列化之C3P0 - 跳跳糖 (tttang.com) 环境搭建 记得maven换源 <dependency> <groupId>com.mchange</groupId> <artifactId>c3p0</artifactId> <version&…
SnakeYaml反序列化
SnakeYaml反序列化 影响版本 全版本 漏洞原理 yaml反序列化时可以通过!!+全类名指定反序列化的类,反序列化过程中会实例化该类,可以通过构造ScriptEngineManagerpayload并利用SPI机制通过URLClassLoader或者其他payload如JNDI方式远程加载实例化恶意类从而实现任意代码执行。 环境搭建 导入依赖…
jndi 的各个版本下的利用方式
前言: 其实是浅学一下jndi的各个版本下常见的利用姿势,还有些东西没有深入。这里看太久没更新拿以前的文章水一篇博客 jndi 原文:JNDI注入学习 - 先知社区 (aliyun.com) 全称 Java Naming and Directory Interface jndi与rmi 这两个很像,可以说都是marshalsec一句话能搞定的事情 …
fastjson反序列化的利用
fastjson 1.2.24 加载恶意类字节码rce demo public static void main(String[] args) { String payload = "{\"@type\":\"com.sun.org.apache.xalan.internal.xsltc.trax.Templ…
servlet型内存马
servlet型内存马 servlet servlet的demo import javax.servlet.*; import javax.servlet.annotation.WebServlet; import java.io.IOException; // 添加路由 @WebServlet("/thaii") public…
valve型内存马
valve型内存马 参考value内存马 - Java反序列化 - CTF知识点 | mikufans = (viewofthai.link) pipeline调用链 基础知识 tomcat的adapter到container之间,有个pipeline调用链, 比如在 StandardHostValve 类中是这样调用 vavle 的 invoke…