fastjson-1.2.24 反序列化漏洞浅析

2018-6-14 小屿 Java

学习自廖新喜大牛的博客,感谢这些乐于分享技术的大牛使得小白有机会学习 最近在学习Spring MVC,在开发中用到了一些JSON库,于是去了解到了一下这些库发生过的漏洞,发现jackson和fastjson在2017年都被爆出过多个代码执行漏洞。 首先了解一下json的序列化,我理解为把java对象转为json字符串,反序列化即为把json字符串转为java对象,例子如下 package jsontest; import com.alibaba.fastjson.JSON; public class Json { ...

阅读全文>>

标签: 反序列化漏洞

评论(0) 浏览(38)

Apache Commons-Collections-3.2.1 反序列化漏洞浅析

2018-6-12 小屿 Java

最近在学java,当然少不了去学习大名鼎鼎的java反序列化漏洞。 一通搜索然后阅读各种大牛的文章找到如下payload import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; import java.lang.annotation.Retention; import java.lang.reflect.Const...

阅读全文>>

标签: 反序列化漏洞

评论(0) 浏览(43)

一个绕waf的linux-windows-cmd.jsp

2018-5-13 小屿 Java

http://www.p2j.cn/?p=1863 园长师傅教我拿反射写,然后自己发挥写了个linux和windows都能用的http://xia0yu.win/linux_win_cmd.jsp.bak <%@ page contentType="text/html;charset=UTF-8" language="java" %> <%@ page import="java.util.List" %> <%@ page import="java.io.InputStream" %> <%@ page import="java...

阅读全文>>

评论(2) 浏览(95)

JAVA代码审计-垃圾租车系统

2018-5-8 小屿 Java

前言 最近刚开始学习JavaWeb,弱鸡入门,看了我师傅园长MM在N多年前写的攻击JavaWeb应用和freebug的某租车系统JAVA代码审计文章后决定也去找点辣鸡漏洞。 0×00 注入 freebug那个文章说没找到注入,不过看了下是有注入的 搭建好环境后先首先看了下filter,就只有一个filter路径在 opencar/WebRoot/WEB-INF/lib/urlrewritefilter-4.0.3.jar!/org/tuckey/web/filters/urlrewrite/UrlRewriteFilter.cla...

阅读全文>>

标签: 代码审计

评论(0) 浏览(71)

Powered by xia0yu