利用 dns 解析探测 fastjson，JdbcRowSetImpl 命令执行，bcel Fastjson不出网利用，三个链子的分析 探测fastjson - dns 示例代码1： 演示 InetA…

log4j2 远程代码执行漏洞 CVE-2021-44228 what's log4j 先简单叨叨两句日志是什么 日志对蓝队来说还是蛮重要的，出现各种问题都可以去日志看看报错，发生攻击，日志也是进行排…

如标题，Fastjson 安全方面最基础的东西，漏洞成因分析以及简单审计一下反序列化过程 我或许应该每一篇多写一些东西，少分几篇？封面常驻的艾姬多娜图片要用完了（ 最后还是希望大家都能技术进步事业顺利…

java 内存马的一些基本知识以及蓝队视角下如何对内存马感染进行应急响应 本篇为 servlet ，filter ，listener 三大组件类型的内存马，下一篇是 tomcat 的 valve 型和…

一点闲话： 学java安全一周：什么？反序列化？学一下，readObject，还有好多链子...挨个看一遍不就结了？我甚至还把 tomcat 所有 nday 都复现过一遍，java安全也不难啊？不过如…

漏洞存在条件 影响版本： 9.0.0.M1 <= tomcat <= 9.0.98 10.1.0-M1 <= tomcat <= 10.1.34 11.0.0-M1 <=…

审计反向的过程之前，先记录一下检测 shiro 框架的方法，以及利用攻击方法 shiro检测 人工一点点瞧还是太 old school 了，攻防讲究一个效率为王 yakit插件(burp也同理的) 这…

Java序列化与反序列化基本概念 //java的一些语法和面向对象思想不再赘述，可以去菜鸟教程看一看，面向对象思想的讲解b站或者知乎都有很多讲的很好很生动的内容 和php一样，目的都是为了将对象进行存…