0%

RMI反序列化初探

发表于 2022-07-11 更新于 2023-03-16 分类于 java反序列化

RMI

关于RMI这部分的学习：Java RMI 攻击由浅入深 | 素十八以及 RMI反序列化漏洞之三顾茅庐-流程分析 | Halfblue，大佬们的文章就是这么有营养，再推个视频：Java反序列化RMI专题

RMI，即 Remote Method Invocation，Java 的远程方法调用。RMI 为应用提供了远程调用的接口，可以理解为 Java 自带的 RPC 框架，实现RMI的协议叫JRMP，RMI实现的过程中进行了java对象的传递，自然使用了序列化和反序列化，也自然产生了反序列化漏洞。

阅读全文 »

ACTF2022 国际赛

发表于 2022-06-30 分类于赛题wp

阅读全文 »

C3P0利用分析

发表于 2022-06-24 更新于 2022-07-05 分类于 java反序列化

前言

C3P0存在原生反序列化三种利用方式、拓展利用点

1.Java 原生态反序列化利用链 - 加载远程类

2.Json 反序列化利用链 - JNDI

3.Json 反序列化利用链 - HEX序列化字节加载器

4.拓展：Java 原生态反序列化利用链 - 不出网利用

阅读全文 »

JAVA内存马之二

发表于 2022-06-18 分类于内存马

阅读全文 »

Dest0g3 520迎新赛

发表于 2022-06-17 更新于 2022-07-04 分类于赛题wp

阅读全文 »

钓鱼

发表于 2022-06-03 分类于 Red-Team

前言

红蓝对抗之钓鱼，尝试几种钓鱼方式

阅读全文 »

两道phar题

发表于 2022-05-14 更新于 2023-03-04 分类于赛题wp

两道phar题目

阅读全文 »

JAVA内存马

发表于 2022-05-08 更新于 2022-05-20 分类于内存马

阅读全文 »

第二届网刃杯 WEB

发表于 2022-04-26 更新于 2022-05-20 分类于赛题wp

一道SSRF

阅读全文 »

ThinkPHPv5 RCE改造

发表于 2022-04-25 更新于 2023-03-16 分类于 ThinkPHP漏洞集合

阅读全文 »