• 1. Stay - Post
  • 2. Circles - Post
  • 3. Hollywood's_Bleeding - Post
  • 4. A_Thousand_Bad_Times - Post

补基础系列-JavaJspWebShell基础写法

前言

自己大部分渗透过程中所用的Jsp马或者直接使用冰蝎,但是在实际场景中,我们有时候仍然需要上传JSP马作为webshell使用,因此为了不再每一次都百度,这次我们来学习一下JSP马儿的基础写法。

还债系列-Java反序列化链条分析补全(3)-CC5,6,7

前言

后续待分析的链条已经不多了,因此三个链条并到一篇里面写了,有了前面四个链条的分析基础,相信在看后面的利用链,大家已经很得心应手了,还有一样首先给出ysoserial标注的适用范围。

适用范围:
CommonCollections5 :commons-collections:3.1
CommonCollections6 :commons-collections:3.1
CommonCollections7 :commons-collections:3.1

还债系列-Java反序列化链条分析补全(2)-CC3

前言

今天我们来分析一下CC3链,这个利用链和CC1链大同小异,区别和CC2链以及CC4链类似,都是InvokerTransformer类被替换成为InstantiateTransformer,废话不多说,我们看看这个链条的分析。

适用范围:
CommonCollections1 :commons-collections:3.1
CommonCollections3 :commons-collections:3.1

还债系列-Java反序列化链条分析补全(1)-CC2&CC4

前言

已经有很长一段时间没有写博客了,摆烂摆久了,正好趁着最近入职,来复建学习一波了,之前我们只分析过cc链的第一条利用链,接下来我们会将所有的利用链依次分析,来还Java安全的债。

适用范围:
CommonCollections2 :commons-collections4:4.0
CommonCollections4 :commons-collections4:4.0

以下分析可能会非常详细,显得有些冗长,请见谅。毕竟是复习

My Interview Problems For Practice

无论何种漏洞,其思路都是两个,减小危害,减少攻击。