摘要： 前段时间为了方便探测fastjson写的一个小插件，在抓包测试的同时第一时间可进行探测是否存在fastjson漏洞 免责申明 第 一 条 使用者因为违反本声明的规定而触犯中华人民共和国法律的，一切后果自己负担,脚本作者不承担任何责任。 第 二 条 凡以任何方式直接、间接使用作者资料者，视为自愿接受声 阅读全文

摘要： 查询源代码Fastjson版本，可以看到1.2.24是漏洞版本号 全局搜索parseObject方法，直接可以看到已经进行了调用 阅读全文

摘要： 利用框架工具：jsEncrypter与phantomjs.exe 脚本与工具安装就不做介绍了，网上都有教程 目标站点登录请求做了password字段进行了加密，同时验证码存在缺陷，这时候好多初级渗透人员看到存在加密方式都会有放弃的想法，这里详细介绍如何利用jsEncrypter分析js加密算法来进行 阅读全文

摘要： ysoserial 是java反序列化中必备gadget神器，笔记主要记录对URLDNS利用链进行分析，URLDNS是拿来进行探测反序列化是否存在的，简单来说就是个dns请求链 URLDNS 利用链条 HashMap.readObject() HashMap.putVal() HashMap.has 阅读全文