2025年8月8日
Hibernate1反序列化
摘要: 一次根据ysoserial对Hibernate1反序列化的分析 阅读全文
posted @ 2025-08-08 14:09 Zephyr07 阅读(43) 评论(0) 推荐(1)
2025年8月7日
记录一次代审过程中的鉴权绕过
摘要: 一次低代码平台的鉴权绕过记录 阅读全文
posted @ 2025-08-07 11:30 Zephyr07 阅读(56) 评论(0) 推荐(1)
2025年8月6日
一次渗透引出的Java反序列化之XStream反序列化
摘要: emmm,很久之前的一次渗透引出的一次反序列化学习 阅读全文
posted @ 2025-08-06 14:27 Zephyr07 阅读(173) 评论(0) 推荐(1)
2025年7月31日
SpringBoot任意文件写入到RCE分析
摘要: 在之前研究契约锁的一个漏洞的时候,那篇文章的作者提到了一个知识点是springboot服务是不能通过写webshell来达到rce的,所以当时也在想如果是一个springboot的项目的话有什么办法可以rce~ 阅读全文
posted @ 2025-07-31 13:56 Zephyr07 阅读(218) 评论(0) 推荐(1)
2025年7月29日
契约锁电子签章系统QVD-2025-27432代码分析(pdfverifier远程代码执行)
摘要: 契约锁电子签章系统最近爆出来一个rce的漏洞,并且该系统应用广泛,所以来分析一下 阅读全文
posted @ 2025-07-29 11:23 Zephyr07 阅读(111) 评论(0) 推荐(1)
2025年7月28日
java安全之Mysql_JDBC反序列化分析
摘要: JDBC这条链总感觉自己学过,但是翻了翻笔记,发现好像又没有,可能是之前为了面试去看过一些,但是还没有分析过源码,所以来补一下~ 阅读全文
posted @ 2025-07-28 17:02 Zephyr07 阅读(67) 评论(0) 推荐(1)
Java反序列化之JDK7u21分析
摘要: 之前的分析链子大多都是基于了InvokerTransformer 和 TemplatesImpl这两个类去进行恶意加载或者命令执行,同样在jdk7u21这条链子中同样是用到了TemplatesImpl去实现 阅读全文
posted @ 2025-07-28 10:02 Zephyr07 阅读(35) 评论(0) 推荐(1)
2025年7月25日
shiro权限绕过漏洞分析-CVE_2020_1957/CVE-2020-13933
摘要: 说起shiro来,在攻防中最常见的就是两种漏洞,一种就是固定密钥爆破导致shiro反序列化漏洞rce,另一种就是shiro的权限绕过漏洞,通过构造特定的url链接来导致未授权访问 阅读全文
posted @ 2025-07-25 14:37 Zephyr07 阅读(56) 评论(0) 推荐(1)
2025年7月24日
记某次省h通过struts拿下shell
摘要: 开头仍然是找突破口,打点了一天,没有丝毫成果,要下班了,找到突破口了 阅读全文
posted @ 2025-07-24 09:38 Zephyr07 阅读(26) 评论(0) 推荐(1)
2025年7月23日
Java安全之FreeMarker 模板注入
摘要: 事情的起因在于某次红队中,看到一位大佬利用FreeMarker 模板注入从而达到了一个rce的效果,因为自己对这方面没有了解过,于是乎现在开始恶补一下~ 阅读全文
posted @ 2025-07-23 22:59 Zephyr07 阅读(94) 评论(0) 推荐(1)