RASP绕过初探 最近看完了赛博朋克边缘行者,我愿称之为年度最强番,扳机社太强了,塑造的02和lucy都很戳我《I Really Want to Stay At Your House》一响直接泪目了xd RASP是Runtime application self-protection的缩写,中文翻译为应用程序运行时防护,其与WAF等传统安全防护措施的主要区别于其防护层级更加底层——在功能调用前或调用时能获取访 2022-11-02 java RASP
Fastjson高版本的奇技淫巧 众所周知fastjson一般都是打JNDI的,这也是最常用的一种方法,但是高版本的话autoType默认为false,不支持,这里就需要通过一些其他的方法来rce了 在去年的黑帽大会上分享了fastjson1.2.68的几种利用链,今年看到浅蓝师傅关于fastjson1.2.80分享的议题,决定两个一起学习一下 BlackHat2021(fastjson 1.2.68)fastjson 1.2. 2022-10-19 java fastjson
java反序列化之SnakeYaml SnakeYamlSnakeYaml包主要用来解析yaml格式的内容,yaml语言比普通的xml与properties等配置文件的可读性更高,像是Spring系列就支持yaml的配置文件,而SnakeYaml是一个完整的YAML1.1规范Processor,支持UTF-8/UTF-16,支持Java对象的序列化/反序列化,支持所有YAML定义的类型 YAML基本格式要求: YAML大小写敏感 2022-10-12 java 反序列化
Spring内存马学习 Spring回显写一个controller测试一下,发现可以通过ServletRequestAttributes直接获取HttpServletRequest和HttpServletResponse并且RequestContextHolder.getRequestAttributes()可以获取RequestAttributes import org.springframework.stereot 2022-09-27 java 内存马
java二次反序列化初探 前置知识ctf的题目越来越难了,java的考点也更多更复杂,这里就学习一下二次反序列化 SignedObject它是java.security下一个用于创建真实运行时对象的类,更具体地说,SignedObject包含另一个Serializable对象 看一下它的getObject()方法,是一个反序列化,并且该方法还是getter 并且发现反序列化内容是可控的 这里可以看到content是一个 2022-09-20 java 反序列化
Tomcat内存马学习 内存马是无文件Webshell,什么是无文件webshell呢?简单来说,就是服务器上不会存在需要链接的webshell脚本文件,内存马的原理就是在web组件或者应用程序中,注册一层访问路由,访问者通过这层路由,来执行我们控制器中的代码 向各种中间件和框架注入内存马的基础,就是要获得context,所谓context实际上就是拥有当前中间件或框架处理请求、保存和控制servlet对象、保存和控 2022-09-10 java 内存马
Tomcat不出网回显学习 Linux回显在学习内存马之前,先学习一下如何实现回显 通过文件描述符回显linux下java反序列化通杀回显方法的低配版实现 通过java反序列化执行java代码,系统命令获取到发起这次请求时对应的服务端socket文件描述符,然后在文件描述符写入回显内容 问题在于如何通过java反序列化执行代码获取本次http请求用到socket的文件描述符(服务器对外开放的时fd下会有很多socke 2022-09-06 java 内存马
2022羊城杯web部分wp 好久没有写新的文章了,水一个比赛吧 rce_me源码: <?php (empty($_GET["file"])) ? highlight_file(__FILE__) : $file=$_GET["file"]; function fliter($var): bool{ $blacklist = ["<","?","$","[","]",";","eval","> 2022-09-05 CTF 羊城杯
Misc之取证学习 发现我们战队Misc有些弱,Web有xux顶着足够了,那么我就学一下取证,正好为下届蓝帽杯做一下准备,从0开始的取证学习 Volatility首先照着网上的步骤安装 取证文件后缀: .raw、.vmem、.img 命令格式: vol.py -f [image] --profile=[profile] [plugin] 可以使用--info参数来查看volatiliity已经添加的prof 2022-06-01 CTF 取证
Fastjson漏洞学习 fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean 自我提问与回答 parse 和 parseObject的区别:使用JSON.parse(jsonString)和JSON.parseObject(jsonString, Target.class), 2022-04-11 java fastjson
