2025年7月25日
shiro权限绕过漏洞分析-CVE_2020_1957/CVE-2020-13933
摘要: 说起shiro来,在攻防中最常见的就是两种漏洞,一种就是固定密钥爆破导致shiro反序列化漏洞rce,另一种就是shiro的权限绕过漏洞,通过构造特定的url链接来导致未授权访问 阅读全文
posted @ 2025-07-25 14:37 Zephyr07 阅读(71) 评论(0) 推荐(1)
2025年7月24日
记某次省h通过struts拿下shell
摘要: 开头仍然是找突破口,打点了一天,没有丝毫成果,要下班了,找到突破口了 阅读全文
posted @ 2025-07-24 09:38 Zephyr07 阅读(37) 评论(0) 推荐(1)
2025年7月23日
Java安全之FreeMarker 模板注入
摘要: 事情的起因在于某次红队中,看到一位大佬利用FreeMarker 模板注入从而达到了一个rce的效果,因为自己对这方面没有了解过,于是乎现在开始恶补一下~ 阅读全文
posted @ 2025-07-23 22:59 Zephyr07 阅读(197) 评论(0) 推荐(1)
2025年7月22日
Java反序列化之 structS2-001环境搭建(新版idea)和漏洞复现
摘要: Java反序列化之 structS2-001环境搭建(新版idea)和漏洞复现 阅读全文
posted @ 2025-07-22 18:06 Zephyr07 阅读(55) 评论(0) 推荐(1)
2025年7月12日
java反序列化之ROME链
摘要: ROME是一个可以兼容多种格式的feeds解析器,可以将一种对象转换成另一种格式(指定格式或java对象) 他提供了ToStringBean这个类,提供深入的toString方法对javaBean进行操作 阅读全文
posted @ 2025-07-12 11:41 Zephyr07 阅读(32) 评论(0) 推荐(0)
2025年7月11日
Java反序列化之C3P0链
摘要: 还说什么,继续是基础,Java反序列化之C3P0链的学习~ 阅读全文
posted @ 2025-07-11 21:15 Zephyr07 阅读(176) 评论(0) 推荐(0)
2025年7月9日
Redis hyperloglog 远程代码执行漏洞(CVE-2025-32023)
摘要: Redis hyperloglog 远程代码执行漏洞(CVE-2025-32023) 阅读全文
posted @ 2025-07-09 09:41 Zephyr07 阅读(274) 评论(0) 推荐(0)
2025年3月29日
java反序列化之RMI~
摘要: java反序列化之RMI~ 阅读全文
posted @ 2025-03-29 11:51 Zephyr07 阅读(79) 评论(0) 推荐(0)
2025年3月25日
信呼oa2.6.7后台注入!!!
摘要: 信呼oa2.6.7后台注入!!! 阅读全文
posted @ 2025-03-25 22:33 Zephyr07 阅读(120) 评论(0) 推荐(0)
超级无敌详细的信呼oa路由分析!!!
摘要: 信呼oa路由分析!!! 阅读全文
posted @ 2025-03-25 18:32 Zephyr07 阅读(55) 评论(0) 推荐(0)