Java 反序列化漏洞(4) – Apache Commons Collections POP Gadget Chains 剖析
前言 本章来谈一谈两条 Apache Commons Collections 的 POP 利用链 , 分别是 ... » 阅读全文
Java 反序列化漏洞(3) – 初探 Java 反序列化漏洞以及序列化数据分析
前言 其实本章的内容已经和 JAVA RMI 没有太大关系了 . 但是由于 Java 反序列化技术大量应用于 ... » 阅读全文
Java 反序列化漏洞(2) – Java 反射机制
前言 本章内容实际上应该放在Java RMI 原理/流程之前 . Java反序列化可以说是整个 Java 安全... » 阅读全文
Java 反序列化漏洞(1) – Java RMI 原理/流程
前言 最近搭建了很多测试环境 , 使用了像 Ysoserial , Marshalsec 等利用工具 . 也搭... » 阅读全文
CVE-2020-1938 幽灵猫( GhostCat ) Tomcat-Ajp 协议任意文件读取/JSP文件包含漏洞分析
前言 今年分析的第一个漏洞 , 记录在这里. 分析该漏洞的原因主要有两个 : 自己对 Tomcat 整体架构的... » 阅读全文
公告 : 恢复更新
恢复更新 最近不忙了, 这几天恢复更新 , 记录一下学到的东西
<<加密与解密>> 第四版读书笔记
<<加密与解密>> 第四版读书笔记 基础篇 <<加密与解密>>... » 阅读全文
CVE-2007-4556 Struts2_001 Remote Code Execution 远程代码执行漏洞分析
前言 最近准备刷一波经典的 Struts2 的漏洞 . 但是 Struts2 的漏洞实在太多了 , 所以我准备... » 阅读全文
CVE-2019-15107 WebMin Remote Code Execution 远程代码执行漏洞分析
前言 学弟在 Vulhub 里看到了这个漏洞 , 转发给我让我解释一下原理 . 我哪会这玩意 ... 不过为了... » 阅读全文