7.27 fgetc、fputc、fputs、fgets的使用
fgetc、fputc、fputs、fgets的使用
发布时间:2023-11-12
-
[Java反序列化]—Shiro反序列化(二)
前篇通过urldns链来检测了shiro550反序列化的存在,本篇就通过CC链来进行shiro的代码执行shiro中默认是没有CC依赖的,所以需要我们自行加上直接用CC6的链来打,提示类加载不到是一个JVM的标记,说明实际上这是一个...
发布时间:2023-10-02
-
[Java安全]—fastjson漏洞利用
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。...
发布时间:2023-10-02
-
[Java反序列化]—CommonsCollections2
在CommonsCollections4中通过的方法进行了最后的调用,但是通过这种方式的话会存在一个数组的问题,在shiro等应用中会受到一些影响,所以在CC2中就使用代替了之前的数组部分,算是进行了一个优化 ...
发布时间:2022-10-30
-
[Java反序列化]—CommonsCollections4
之前分析的CC链都是基于CommonsCollections3.2.1及其之前版本的,而后边退出了新的版本,而本篇分析的就是基于CC 4.0版本的(除此外还有CC2)本条链的前半段其实跟CC3一样,都是一个动态加载字节码的过程,而后边构造...
发布时间:2022-10-30
-
你知道 Java 中的隐藏类吗?
前几天给大家介绍了Java 17中新推出的密封类,今天继续给大家介绍一个Java 15开始推出的一个新内容:隐藏类。如果你喜欢做封装、做框架的话,这个内容可能对你很有用哦!什么是隐藏类隐藏类,是一种不能被其他类直接...
发布时间:2022-10-30
-
1.2.24 Fastjson反序列化TemplatesImpl利用链分析(非常详细)
本文的关于Fastjson1.2.24版本TemplatesImpl利用链的分析非常详细,如果你不是很熟悉该利用链,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。...
发布时间:2022-10-15
-
[Java反序列化]—Shiro反序列化(三)
前篇通过CC链加载动态字节...(大概意思就是必须是一个公开类,并且有无参构造器和对应的、方法)Demo就类似于这种,公开类、有无参构造器、有对应属性的set或、get方法 Commons-Beanutils 是应用于的工具,他提供了一种
发布时间:2022-10-15