Java反序列化漏洞学习 Commons Collection

lsf / 2021-11-24

笔者是一个刚入门SS\Java安全的萌新,一个月前跟着P神的Java安全漫谈开始学习Java反序列化漏洞。笔者学习的方法是看完文章然后拷贝代码下来idea跟着调一遍,每次调完后会感觉自己已经完全掌握了这条利用链,但是在之后一段时间重新看这条链时会发现完全搞不懂,就这样折腾了几天。写这篇文章的目的是帮助更多和我一样的萌新开始真正的利用链分析,而不是拷贝代码下来跟着调就行了,我会以构造利用链的角度,每一步会有一个小demo演示如何构造这一部分的代码,希望能帮到更多和我一样不知道怎么入门的萌新。如文章有什么错误欢迎大佬指出,也欢迎各位读者加联系方式一起讨论。

lsf

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

Python安全 文章:13 篇
硬件与物联网 文章:40 篇
漏洞分析 文章:212 篇
后门 文章:39 篇
神器分享 文章:71 篇

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮