看面经和复习期末考试都怪无聊的，看点这个核弹级漏洞 背景2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请

终于学到JNDI了，其实最开始的时候我是在学fastjson的，然后发现fastjson要用JNDI，所以又想去学JNDI，但是JNDI里又用了很多RMI的内容，所以只好花了几天把之前看了个开头的RMI重新看了一遍。 JNDI概述JNDI(

最后一篇了吧（大概 前两篇介绍了RMI的流程和基础的攻击，这一篇写点进阶的东西 JEP290在JDK6u141、JDK7u131、JDK 8u121加入了JEP 290限制,JEP 290过滤策略有 进程级过滤器 可以将进程级序列化过滤器作

单独开篇文章记一下自己每天都干嘛了，督促一下自己，虽然现在记好像有点晚了hhh

前言在第一篇的时候已经分析了RMI整个调用的流程，所以在这里就写一下攻击的流程 根据第一篇的分析 我们已知 攻击服务端1.UnicastServerRef#dispatch -> UnicastServerRef#unmarshalV

title: fastjson反序列化tags: web学习 Javaabbrlink: 13031date: 2023-05-07 17:44:45 环境配置<dependency> <groupId>com.aliba

本来是在学shiro 的，发现shiro无依赖反序列化需要用CB链，所以就先学一下CB链 前置知识commons-beanutils 是 Apache 提供的一个用于操作 JAVA bean 的工具包。里面提供了各种各样的工具类，让我们可以

这篇博客本来是打算只写一些shiro反序列化的内容的，但是发现了一篇关于shiro已知的所有cve的漏洞分析，因此就打算顺着这篇文章把shiro的漏洞都看一下，也是怕之后这个文章没了。其中的理论部分大概率和文章里的一模一样，一个是我觉得这个

海南大学的比赛，六个web就出了四个，java的题目还是一窍不通。我是菜鸟，想寄就寄 Welcome To HDCTF 2023直接改js，没啥好说的 SearchMastersmarty的模板注入，看出题人的原意是用Smarty 4.1.

RMI介绍​ RMI (Remote Method Invocation) 远程方法调用，顾名思义，它的功能就是就是实现调用远程方法 ​ 实现RMI的协议叫JRMP，RMI实现的过程中进行了java对象的传递，自然使用了序列化和