bitterz

摘要： CVE-2022-22947 Spring Cloud Gateway SPEL RCE漏洞复现阅读全文

posted @ 2022-03-04 16:12 bitterz 阅读(3565) 评论(0) 推荐(1) 编辑

摘要：总结并复现了一下Unsafe在安全领域的一些应用阅读全文

posted @ 2022-03-01 20:21 bitterz 阅读(1163) 评论(0) 推荐(0) 编辑

摘要：浅蓝师傅公布了一些JNDI bypass的新poc，年前复现了一些，昨天写完毕业论文，到现在终于复现完了- -！阅读全文

posted @ 2022-02-28 16:55 bitterz 阅读(3118) 评论(4) 推荐(0) 编辑

摘要：写出Apache Dubbo <= 2.7.8的POC和原理分析后，又研究了一下，发现了Apache Dubbo<=2.7.13可用的POC 阅读全文

posted @ 2022-01-20 23:05 bitterz 阅读(2592) 评论(2) 推荐(0) 编辑

摘要： rc1的绕过其实当天就搞出来了，不知道会不会有啥影响所以保持克制，顺带研究了一下ldap部分可以添加的绕过姿势，总结了一些log4j可解析部分的绕过姿势阅读全文

posted @ 2021-12-10 22:35 bitterz 阅读(567) 评论(0) 推荐(0) 编辑

摘要：本篇是Dubbo反序列化安全问题的学习和研究第二篇，来看看Dubbo2.x下，由于dubbo的数据包协议设计安全问题，导致攻击者可以选定危险的反序列化协议从而实现RCE 阅读全文

posted @ 2021-11-22 16:00 bitterz 阅读(2179) 评论(0) 推荐(0) 编辑

摘要： Dubbo安全问题的学习和研究第一篇-hessian2反序列化漏洞阅读全文

posted @ 2021-11-08 21:12 bitterz 阅读(1807) 评论(0) 推荐(2) 编辑

摘要：学习和尝试从commons-beanutils反序列化gadget到shiro反序列化漏洞利用，并在shiro无其它依赖的情况下，实现漏洞利用和内存马注入阅读全文

posted @ 2021-10-13 10:51 bitterz 阅读(1622) 评论(2) 推荐(1) 编辑

摘要： ysoserial反序列化系列学习记录之一，除了详细解析gadget之外，还考虑了两种实际攻击场景的应用。阅读全文

posted @ 2021-09-17 18:40 bitterz 阅读(893) 评论(0) 推荐(0) 编辑

摘要：听说JDK7u21的反序列化涉及的知识量很多，很难啃，具体来看看咋回事阅读全文

posted @ 2021-09-13 16:50 bitterz 阅读(405) 评论(0) 推荐(0) 编辑

https://github.com/bitterzzZZ