前言

最近状态好差

前言

初探FastJson，version = 1.2.24

FastJson

Fastjson是Alibaba开发的Java语言编写的高性能 JSON 库，用于将数据在 JSON 和 Java Object 之间互相转换，提供两个主要接口 JSON.toJSONString 和 JSON.parseObject/JSON.parse 来分别实现序列化和反序列化操作。

前言

转载于 内网渗透初探(二)|内网渗透全过程重新学习-先知社区

环境介绍

专门做了个拓扑图，首先外网打点，然后内网穿透，进域内，攻击域主机2、域主机1，通过pth、ptt的方式拿下域控。

Rome

Rome 就是为 RSS聚合开发的框架， 可以提供RSS阅读和发布器。

Rome 提供了 ToStringBean 这个类，提供深入的 toString 方法对JavaBean进行操作

前言

这篇将介绍一下 CommonsBeanutils 链，以及没有 commons-collections 的Shiro反序列化利用

Apache Commons Beanutils

Apache Commons Beanutils 提供了对Java普通类对象（也成为 JavaBean） 的一些操作方法。

至于JavaBean

• 有一个public的无参数构造函数。
• 属性可以透过get、set、is（可替代get，用在 布尔型 属性上）方法或遵循特定命名规则的其他方法访问。
• 可序列化

前言

学习shiro反序列化

是什么

Apache Shiro是一种功能强大且易于使用的Java安全框架，它执行身份验证、授权、加密和会话管理，可用于保护任何应用程序的安全。

Shiro提供了应用程序安全性API来执行以下方面：

• 身份验证：证明用户身份，通常称为用户登录

• 授权：访问控制

• 密码术：保护或隐藏数据以防窥视；

• 会话管理：每个用户的时间敏感状态。

Shiro还支持一些辅助功能，例如Web应用程序安全性，单元测试和多线程支持，它们的存在也是为了加强上述四个方面。