摘要:
# Spring内存码 依然不会配环境orz,干脆直接拿以前那个java-sec-code了,springboot版本2.1.5.RELEASE spring内存码基础的有controller型和interceptor型,两个组件都可以动态添加,注入思路和以前一样,所以先看初始化的流程 ## 一、C 阅读全文
posted @ 2023-08-02 14:55
卡拉梅尔
阅读(169)
评论(0)
推荐(0)
摘要:
# Tomcat内存码 java web和tomcat基础的前置知识可以看[这篇](https://drun1baby.top/2022/08/19/Java%E5%86%85%E5%AD%98%E9%A9%AC%E7%B3%BB%E5%88%97-01-%E5%9F%BA%E7%A1%80%E5% 阅读全文
posted @ 2023-07-19 09:53
卡拉梅尔
阅读(46)
评论(0)
推荐(0)
摘要:
# SnakeYaml反序列化 https://github.com/JoyChou93/java-sec-code java有关的一个本地靶场,看了下shiro、fastjson、sql注入啥的都有,就当练练代码审计吧。在windows上起环境按[这个](https://blog.csdn.net 阅读全文
posted @ 2023-07-06 16:19
卡拉梅尔
阅读(779)
评论(0)
推荐(0)
摘要:
# fastjson反序列化 ## 前置知识 fastjson是阿里巴巴开发的一个处理json数据的开源库,简简单单解析一个json字符串是自然不会造成命令执行的,问题在于很多库为了实用性会额外实现一些功能,造成了攻击点 ### fastjson简单使用 引入依赖,先用古老版本 ```xml com 阅读全文
posted @ 2023-06-19 16:12
卡拉梅尔
阅读(456)
评论(0)
推荐(0)
摘要:
# JNDI注入 ## 前置知识 ### JNDI JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口。**可以通过字符串来锁定一个对象** **JNDI 支持的服务主要有 阅读全文
posted @ 2023-04-24 20:14
卡拉梅尔
阅读(285)
评论(0)
推荐(0)
摘要:
# RMI > RMI(Remote Method Invocation),为远程方法调用,是允许运行在一个Java虚拟机的对象调用运行在另一个Java虚拟机上的对象的方法。 这两个虚拟机可以是运行在相同计算机上的不同进程中,也可以是运行在网络上的不同计算机中。 
评论(0)
推荐(0)
摘要:
# JDBC反序列化 ## 前置知识 ### JDBC > JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必 阅读全文
posted @ 2023-04-11 23:35
卡拉梅尔
阅读(1689)
评论(0)
推荐(0)
摘要:
Shiro反序列化 由于对idea的几个配置操作不太熟悉在搭环境时吃了不少苦 环境搭建 首先在github下载shiro1.2.4的包,在idea中打开,配置tomcat服务器,大致流程按照这个博主的 https://www.cnblogs.com/h0cksr/p/16189761.html 此外 阅读全文
posted @ 2023-04-10 18:54
卡拉梅尔
阅读(426)
评论(0)
推荐(0)
浙公网安备 33010602011771号