java安全 - 文章分类 - Zephyr07

高版本JDK+SpringBoot原生反序列化通杀链

摘要：高版本jdk+springboot链子阅读全文

posted @ 2025-08-26 18:21 Zephyr07 阅读(216) 评论(2) 推荐(0)

JDBC MySQL不出网利用

摘要：推荐文章：https://xz.aliyun.com/news/17830 阅读全文

posted @ 2025-08-21 15:28 Zephyr07 阅读(115) 评论(0) 推荐(0)

浅析behinder agent内存马注入

摘要：学习了内存马之后，想到了behinder和godzilla这两款现在在实战中常用的内存马注入工具，这篇文章就先分析一下behinder工具注入的内存马的核心源码吧，也为以后二开工具做个铺垫阅读全文

posted @ 2025-08-15 21:13 Zephyr07 阅读(138) 评论(0) 推荐(1)

Java agent(一)

摘要：最近在看字节码插桩和rasp的一些内容，发现其中都绕不开java agent的使用，刚好之前的agent的内存马还没分析过，所以这篇文章先学习一下java agent的知识，后续再继续出rasp的一些内容阅读全文

posted @ 2025-08-13 15:44 Zephyr07 阅读(73) 评论(0) 推荐(2)

Hibernate1反序列化

摘要：一次根据ysoserial对Hibernate1反序列化的分析阅读全文

posted @ 2025-08-08 14:09 Zephyr07 阅读(51) 评论(0) 推荐(1)

一次渗透引出的Java反序列化之XStream反序列化

摘要：emmm，很久之前的一次渗透引出的一次反序列化学习阅读全文

posted @ 2025-08-06 14:27 Zephyr07 阅读(207) 评论(0) 推荐(1)

SpringBoot任意文件写入到RCE分析

摘要：在之前研究契约锁的一个漏洞的时候，那篇文章的作者提到了一个知识点是springboot服务是不能通过写webshell来达到rce的，所以当时也在想如果是一个springboot的项目的话有什么办法可以rce~ 阅读全文

posted @ 2025-07-31 13:56 Zephyr07 阅读(298) 评论(0) 推荐(1)

契约锁电子签章系统QVD-2025-27432代码分析(pdfverifier远程代码执行)

摘要：契约锁电子签章系统最近爆出来一个rce的漏洞，并且该系统应用广泛，所以来分析一下阅读全文

posted @ 2025-07-29 11:23 Zephyr07 阅读(140) 评论(0) 推荐(1)

java安全之Mysql_JDBC反序列化分析

摘要：JDBC这条链总感觉自己学过，但是翻了翻笔记，发现好像又没有，可能是之前为了面试去看过一些，但是还没有分析过源码，所以来补一下~ 阅读全文

posted @ 2025-07-28 17:02 Zephyr07 阅读(112) 评论(0) 推荐(1)

Java反序列化之JDK7u21分析

摘要：之前的分析链子大多都是基于了InvokerTransformer 和 TemplatesImpl这两个类去进行恶意加载或者命令执行，同样在jdk7u21这条链子中同样是用到了TemplatesImpl去实现阅读全文

posted @ 2025-07-28 10:02 Zephyr07 阅读(38) 评论(0) 推荐(1)

shiro权限绕过漏洞分析-CVE_2020_1957/CVE-2020-13933

摘要：说起shiro来，在攻防中最常见的就是两种漏洞，一种就是固定密钥爆破导致shiro反序列化漏洞rce，另一种就是shiro的权限绕过漏洞，通过构造特定的url链接来导致未授权访问阅读全文

posted @ 2025-07-25 14:37 Zephyr07 阅读(66) 评论(0) 推荐(1)

Java安全之FreeMarker 模板注入

摘要：事情的起因在于某次红队中，看到一位大佬利用FreeMarker 模板注入从而达到了一个rce的效果，因为自己对这方面没有了解过，于是乎现在开始恶补一下~ 阅读全文

posted @ 2025-07-23 22:59 Zephyr07 阅读(170) 评论(0) 推荐(1)

Java反序列化之 structS2-001环境搭建(新版idea)和漏洞复现

摘要：Java反序列化之 structS2-001环境搭建(新版idea)和漏洞复现阅读全文

posted @ 2025-07-22 18:06 Zephyr07 阅读(50) 评论(0) 推荐(1)

java反序列化之ROME链

摘要：ROME是一个可以兼容多种格式的feeds解析器，可以将一种对象转换成另一种格式(指定格式或java对象) 他提供了ToStringBean这个类，提供深入的toString方法对javaBean进行操作阅读全文

posted @ 2025-07-12 11:41 Zephyr07 阅读(27) 评论(0) 推荐(0)

Java反序列化之C3P0链

摘要：还说什么，继续是基础，Java反序列化之C3P0链的学习~ 阅读全文

posted @ 2025-07-11 21:15 Zephyr07 阅读(166) 评论(0) 推荐(0)

java反序列化之RMI~

摘要：java反序列化之RMI~ 阅读全文

posted @ 2025-03-29 11:51 Zephyr07 阅读(72) 评论(0) 推荐(0)

CVE-2025-24813 RCE复现

摘要：CVE-2025-24813 RCE复现阅读全文

posted @ 2025-03-23 14:18 Zephyr07 阅读(137) 评论(0) 推荐(0)

Shiro反序列化漏洞之shiro721（二）

摘要：Shiro反序列化漏洞之shiro721（二）阅读全文

posted @ 2025-03-13 21:51 Zephyr07 阅读(129) 评论(3) 推荐(0)

shiro550（包括加密流程分析，cc链和CB链两种打法）！！！

摘要：shiro550（包括加密流程分析，cc链和CB链两种打法）！！！阅读全文

posted @ 2025-03-13 21:40 Zephyr07 阅读(181) 评论(0) 推荐(0)

工厂模式和单例模式的学习

摘要：工厂模式和单例模式阅读全文

posted @ 2025-03-03 09:49 Zephyr07 阅读(93) 评论(0) 推荐(0)

Zephyr07

总要为自己努力一次吧

文章分类 - java安全

公告