攻击方式注册端攻击服务端java -cp .\ysoserial-master-8eb5cbfbf6-1.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 "calc" public static void main(...

前言告别脚本小子系列是本公众号的一个集代码审计、安全研究和漏洞复现的专题，意在帮助大家更深入的理解漏洞原理和掌握漏洞挖掘的思路和技巧。系列课程包含多篇文章，往期课程...

前言反序列化漏洞作为java中最常见和最好用的漏洞之一，是检验一个安全研究员能力的核心技术。我们接下来的分享会围绕java反序列化漏洞展开，包括相关知识的准备、反序列化的原...

前言告别脚本小子系列是本公众号新开的一个集代码审计、安全研究和漏洞复现的专题，意在帮助大家更深入的理解漏洞原理和掌握漏洞挖掘的思路和技巧。我们将由浅入深的对java安...

  介绍 最近用Go编写Java反序列化相关的扫描器，遇到一个难点：如何拿到根据命令生成的payload 通过阅读已有开源工具的源码，发现大致有以下两种解决方案 执行命令法 使用命令...

  前言 在学习java安全时，ysoserial项目是一个非常值得的项目，这里记录一下自己学习过程中的思路及反序列化链的构造方式。   Java反射知识 定义 Java 反射机制可以可以无...

  About Thymeleaf Thymeleaf是SpringBoot中的一个模版引擎，个人认为有点类似于Python中的Jinja2，负责渲染前端页面。 之前写JavaWeb和SSM的时候，前端页面可能会用JSP写，但是...