log4j2漏洞 看面经和复习期末考试都怪无聊的,看点这个核弹级漏洞 背景2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请 2023-06-04 Ethe web学习 Java JNDI注入 终于学到JNDI了,其实最开始的时候我是在学fastjson的,然后发现fastjson要用JNDI,所以又想去学JNDI,但是JNDI里又用了很多RMI的内容,所以只好花了几天把之前看了个开头的RMI重新看了一遍。 JNDI概述JNDI( 2023-05-22 Ethe web学习 Java RMI攻击(三) 最后一篇了吧(大概 前两篇介绍了RMI的流程和基础的攻击,这一篇写点进阶的东西 JEP290在JDK6u141、JDK7u131、JDK 8u121加入了JEP 290限制,JEP 290过滤策略有 进程级过滤器 可以将进程级序列化过滤器作 2023-05-20 Ethe web学习 Java 记事簿 单独开篇文章记一下自己每天都干嘛了,督促一下自己,虽然现在记好像有点晚了hhh 2023-05-19 Ethe 随笔 RMI攻击(二) 前言在第一篇的时候已经分析了RMI整个调用的流程,所以在这里就写一下攻击的流程 根据第一篇的分析 我们已知 攻击服务端1.UnicastServerRef#dispatch -> UnicastServerRef#unmarshalV 2023-05-18 Ethe web学习 Java title: fastjson反序列化tags: web学习 Javaabbrlink: 13031date: 2023-05-07 17:44:45 环境配置<dependency> <groupId>com.aliba 2023-05-07 Ethe CommonsBeanutils反序列化 本来是在学shiro 的,发现shiro无依赖反序列化需要用CB链,所以就先学一下CB链 前置知识commons-beanutils 是 Apache 提供的一个用于操作 JAVA bean 的工具包。里面提供了各种各样的工具类,让我们可以 2023-04-27 Ethe web学习 Java 反序列化 shiro安全 这篇博客本来是打算只写一些shiro反序列化的内容的,但是发现了一篇关于shiro已知的所有cve的漏洞分析,因此就打算顺着这篇文章把shiro的漏洞都看一下,也是怕之后这个文章没了。其中的理论部分大概率和文章里的一模一样,一个是我觉得这个 2023-04-25 Ethe web学习 Java HDCTF2023 WP 海南大学的比赛,六个web就出了四个,java的题目还是一窍不通。我是菜鸟,想寄就寄 Welcome To HDCTF 2023直接改js,没啥好说的 SearchMastersmarty的模板注入,看出题人的原意是用Smarty 4.1. 2023-04-23 Ethe ctf RMI攻击(一) RMI介绍 RMI (Remote Method Invocation) 远程方法调用,顾名思义,它的功能就是就是实现调用远程方法 实现RMI的协议叫JRMP,RMI实现的过程中进行了java对象的传递,自然使用了序列化和 2023-04-21 Ethe web学习 Java