随笔分类 - web安全 / java安全
摘要:目录IoC概念DI(依赖注入)SpringDemo项目新建maven项目加入依赖定义类:接口和实现类Spring的配置文件Spring容器创建对象使用容器中的对象问题1:spring创建对象,调用是类的那个方法问题2:spring是在什么时候创建对象问题3:spring容器创建对象,一次创建几个获取
阅读全文
摘要:目录IDEA配置JSP基本语法page指令ScriptLet标签注释包含跳转JSP四大作用域applicationsessionrequestpageJSP九大内置对象responseoutpageContextconfigexceptionJavaBean组件JavaBean组件引入创建JavaB
阅读全文
摘要:目录源码附件说明本地复现比赛环境的bypass 源码附件 比赛时给的附件 https://pan.baidu.com/s/1ivS1LOgr7CWvh_1x93JL6w?pwd=qrwd 说明 给的附件和远程环境中的不一样 然后根据配置文件和源码return 'home'写一个home.pebble
阅读全文
摘要:目录java反序列化 CC7利用链学习笔记(Hashtable)环境搭建利用链 java反序列化 CC7利用链学习笔记(Hashtable) 环境搭建 jdk8u71 <dependency> <groupId>commons-collections</groupId> <artifactId>co
阅读全文
摘要:目录java反序列化 CC6利用链学习笔记环境配置利用链 java反序列化 CC6利用链学习笔记 环境配置 jdk8(无版本要求) pom.xml中写入 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-c
阅读全文
摘要:java反序列化 CC5利用链学习笔记 目录java反序列化 CC5利用链学习笔记环境配置利用链TiedMapEntryBadAttributeValueExpException参考文章 环境配置 jdk8u(无java版本要求) pom.xml中写入 <dependency> <groupId>c
阅读全文
摘要:java反序列化 CC4利用链学习笔记 目录java反序列化 CC4利用链学习笔记环境配置利用链 环境配置 jdk8u pom.xml中写入 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collecti
阅读全文
摘要:java反序列化 CC3利用链学习笔记 目录java反序列化 CC3利用链学习笔记环境配置利用链TrAXFilterInstantiateTransformerChainedTransformer参考文章 环境配置 jdku7 <dependency> <groupId>commons-collec
阅读全文
摘要:Javassist学习笔记 前言 Javassist是一个用于在Java程序中编辑字节码的开源库。它允许开发人员动态修改和生成Java类文件,从而可以在运行时动态地改变类的行为。Javassist还提供了许多工具和API,用于操作Java字节码,例如创建新的类、修改类的方法、属性和注解等。它被广泛应
阅读全文
摘要:PriorityQueue 环境搭建 jdku8 pom.xml <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</versio
阅读全文
摘要:CC1--TransformedMap类反序列化 环境搭建 windows的ij idea CC1漏洞影响范围: JDk <= jdk8u65 commons-collections <= 3.2.1 这里使用别的大佬已经弄好的内置sun源码的jdk7 https://pan.baidu.com/s
阅读全文
摘要:CVE-2021-44228 log4j2 漏洞版本范围 2.x < version <=2.14.1 环境搭建 linux的ij idea java版本:JDK1.8u102 https://www.oracle.com/cis/java/technologies/javase/javase8-a
阅读全文
摘要:java基础漏洞学习 SSTI漏洞 Velocity模板注入 Java中有以下这些常见的模板引擎:XMLTemplate,Velocity,CommonTemplate,FreeMarker,Smarty4j,TemplateEngine 其中Velocity在Java中使用较多 把以下内容用bur
阅读全文
摘要:java基础漏洞学习 整数溢出漏洞+硬编码漏洞+不安全的随机数生成器 整数溢出漏洞 public class NumberLearning { public static void main(String[] args){ System.out.println(Integer.MAX_VALUE+1
阅读全文
摘要:java基础漏洞学习 SSRF漏洞 JAVA的SSRF常见利用协议 仅支持sun.net.www.protocol下所有的协议:http,https,file,ftp,mailto,jar及netdoc 传入的URL必须和重定向后的URL协议一致,JAVA中的SSRF不能和PHP中一样使用gothe
阅读全文
摘要:java基础漏洞学习 基础命令执行漏洞 基础命令执行常见方法 1.ProcessBuilder package com.example.servletdemo; import java.io.BufferedReader; import java.io.IOException; import jav
阅读全文
摘要:java基础漏洞学习 文件操作漏洞 前置基础知识 https://www.cnblogs.com/thebeastofwar/p/17760812.html 文件上传漏洞 文件上传的方式 1.通过文件流 index.jsp <%@ page language="java" contentType="
阅读全文
摘要:java基础漏洞学习 SQL注入漏洞 前置基础知识 https://www.cnblogs.com/thebeastofwar/p/17759805.html 执行SQL语句的几种方式 1.Statement执行SQL语句 java.sql.Statement是Java JDBC下执行SQL语句的一
阅读全文
摘要:Servlet/JSP IDEA配置 然后可以看到默认给你一个Hello World 然后注意端口占用的问题 Hello World项目源码 index.jsp(src/main/webapp/WEB-INF/index.jsp) <%@ page contentType="text/html; c
阅读全文
摘要:java数据库与JDBC java与MYSQL 1.下载驱动 https://dev.mysql.com/downloads/connector/j/ https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-j-8.1.0.zi
阅读全文
浙公网安备 33010602011771号