Java安全
关注
分享
扫一扫
文章平均质量分 78
phantom0409
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
ysoserial URLDNS解析
第一篇文章原创 2021-09-04 23:46:06 · 430 阅读 · 0 评论 -
ysoserial Common-Collections1利用链解析(一)
0x01 解析 package commoncollections1; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.coll原创 2021-09-05 15:27:49 · 155 阅读 · 0 评论 -
ysoserial Common-Collections1利用链解析(四)
0x01 ysoserial commoncollection1源码 @SuppressWarnings({"rawtypes", "unchecked"}) @PayloadTest ( precondition = "isApplicableJavaVersion") @Dependencies({"commons-collections:commons-collections:3.1"}) @Authors({ Authors.FROHOFF }) public class CommonsColl原创 2021-09-07 00:23:17 · 311 阅读 · 0 评论 -
ysoserial Common-Collections1利用链解析(三)
(二)中所示代码和ysoserial中有所不同,ysoserial中的CommonCollections1利用链中用的是LazyMap而不是TransformedMap。 TransformedMap可以参考以下链接 长亭科技:https://blog.chaitin.cn/2015-11-11_java_unserialize_rce/ LazyMap和TransformedMap类似,都来自Common-Collections库,并继承了 AbstractMapDecorator。LazyM.原创 2021-09-06 23:11:42 · 281 阅读 · 0 评论 -
Java反序列化梳理
0x01 Java反序列化梳理 https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet 序号 类型 格式 说明 01 Java Native Serialization Binary 通用利用,原生,ysoserial为工具 02 XMLEncoder XML 03 XStream XML/JSON/various 04 Kryo Bin原创 2021-09-06 23:56:37 · 205 阅读 · 0 评论