2022-12-29 spring内存马——Controller&Interceptor Spring内存马 java 内存马 Spring内存马Spring是IOC和AOP的容器框架,SpringMVC则是基于Spring功能的Web框架。 IOC容器:IOC容器负责实例化、定位、配置应用程序对象及建立对象依赖。Spring中用BeanFactory实现 Sp
2022-12-12 Tomcat内存马——Filter&Servlet&Listener&valve Tomcat内存马 java 内存马 Tomcat内存马基础知识:https://www.freebuf.com/articles/web/274466.html 内存马主要分为以下几类: servlet-api类 filter型 servlet型 spring类
2022-10-23 无数组TransformingComparator CC2 CCshiroCommonBeanutils java CC java_PriorityQueuejava.util.PriorityQueue 是一个优先队列(Queue),节点之间按照优先级大小排序成一棵树。其中PriorityQueue有自己的readObject反序列化入口。 反序列化链为:P
2022-10-07 java_TemplatesImpl在BCEL和shiro中的利用 BCELCCShiro java CC URLClassLoader可以从远程HTTP服务器上加载.class文件,从而执行任意代码。 JAVA Classloader字节码的本质是一个字节数组byte[] defineClass加载class或者jar文件,都会经过ClassL
2022-09-03 java TransformedMap&LazyMap CC java CC java反射首先,反射通常是通过class方法生成的class对象,所以可以使用比如runtime下没有而class下有的方法。比如序列化,runtime是生成对象是无法序列化的,但是class可以。所以一般都要通过class进行反序列化
2022-05-10 java学习笔记 java杂论 java java杂谈 java学习简记学习CC链过程中发现java水平不够,本笔记主要介绍java我个人认为比较重要或者困难的地方。 类定义abstract声明抽象类和抽象方法(没有任何实现的类和方法),为了以后扩充。如果类有抽象方法,那该类也必须为抽象类 ex
2022-05-09 Weblogic T3 反序列化 CVEweblogic java 框架漏洞 Weblogic T3 反序列化环境搭建:https://github.com/QAX-A-Team/WeblogicEnvironment 其中libnsl库因为源的问题装不上的话,就在Dockerfile里注释掉RUN yum -y i
2022-04-01 ysoserial&marshalsec调试 JNDImarshalsecysoserial java java杂谈 ysoserial安装使用调试 安装下载链接:https://github.com/frohoff/ysoserial 下载后需要自己编译生成jar包,这里把测试关掉后package打包就行了 需要java1.7以上 也可以直接下载jar