• 2024-09-25Java序列化、反序列化、反序列化漏洞
    目录1序列化和反序列化1.1概念1.2序列化可以做什么?3实现方式3.1Java原生方式3.2第三方方式4反序列化漏洞1序列化和反序列化1.1概念Java中序列化的意思是将运行时的对象转成可网络传输或者存储的字节流的过程。而反序列化正相反,是把字节流恢复成对象的过程。1.2序
  • 2024-01-22URLDNS链分析
    一、概述URLDNS 是ysoserial中利用链的一个名字,通常用于检测是否存在Java反序列化漏洞。该利用链具有如下特点:不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用链,只能发起DNS请求,并不能进行其他利用二、流程
  • 2023-08-11URLDNS的反序列化调试分析
    Java反序列化(0):URLDNS的反序列化调试分析URLDNS链子是Java反序列化分析的第0课,网上也有很多优质的分析文章。笔者作为Java安全初学者,也从0到1调试了一遍,现在给出调试笔记。一.Java反序列化前置知识Java原生链序列化:利用Java.io.ObjectInputStream对象输出流的writerObject
  • 2023-07-13Java反序列化:URLDNS的反序列化调试分析
    URLDNS链子是Java反序列化分析的第0课,网上也有很多优质的分析文章。笔者作为Java安全初学者,也从0到1调试了一遍,现在给出调试笔记。一.Java反序列化前置知识Java原生链序列化:利用Java.io.ObjectInputStream对象输出流的writerObject方法实现Serializable接口,将对象转化成字节
  • 2023-05-30“编不下去了!”~如何在泛型方法里获取T的类型?
    我定义了一个hessian2反序列化的工具方法。为了便于使用,使用了泛型。可是遇到了一个问题,其中调用的Hessian2Input#readObject的入参类型是Class实例。那么,怎么获取泛型T的类型呢?publicstatic<T>Tdeserialize(byte[]bytes)throwsIOException{try(ByteArrayInputStr
  • 2023-04-25Java序列化和反序列化
    目录一、序列化和反序列化二、Java序列化演示三、反序列化漏洞一、序列化和反序列化1、含义​ 序列化就是内存中的对象写入到IO流中,保存的格式可以是二进制或者文本内容。反序列化就是IO流还原成对象。2、用途(1)传输网络对象(2)保存Session二、Java序列化演示1、序列化java
  • 2023-04-19javasec(四)序列化与反序列化基本原理
    title:javasec(四)序列化与反序列化基本原理tags:-javasec-反序列化categories:-javaseccover:'https://blog-1313934826.cos.ap-chengdu.myqcloud.com/blog-images/1.jpeg'feature:falsedate:2023-04-1816:02:20这篇文章介绍java序列化与反序列化基本原
  • 2023-03-22反序列化漏洞 之 CC1链(审计分析)
    反序列化前提1、被序列化和反序列化的类需要实现Serializable序列化接口2、并重写readObject方法,在重写的readObject方法中执行objectInputStream.defaultReadOb
  • 2023-03-12java基础五-序列化和反序列化
     序列化和反序列化序列化:将对象转换为字节序列的过程反序列化将字节序列恢复为对象的过程实现序列化实现Serializable接口-创建对象输出流-调用writeObject()方法-
  • 2022-12-27笔记
    Tomcat-filter内存马参考文章:http://wjlshare.com/archives/1529https://jkme.github.io/2022/04/14/memory-shell-1.html#Listenerhttps://xz.aliyun.com/t/10196h
  • 2022-12-05构造链
    概述CommonsCollections3.2.2的改动CommonsCollections44.1的改动4.1⾥,这⼏个危险Transformer类不再实现Serializable接⼝,也就是说,他们⼏个彻底⽆法序列化和反序
  • 2022-11-13CC1,3,6回顾
    前言前面陆续学习了CC1,CC3,CC6,以及TemplatesImpl以及改造,有点乱,正所谓温故而知新嘛,所以这篇就回顾一下,捋一捋,解决一些细节问题。CC1由于CC1要介绍CC链的几个关键类,所
  • 2022-09-05java关于序列化的理解
     序列化是将数据变成可以传输的形式: 1.java对象的形式 2.二进制形式 再通过IO传输;可以通过网络传输也可以将数据保存到文件中或者从文件中取出。 java中通过