#java, #反序列化漏洞, #weblogic Weblogic t3 反序列化 Weblogic t3 反序列化JRMP是Java默认RMI的通信协议,而Weblogic实现的RMI的通信协议主要为t3(还有基于CORBA的IIOP协议)。t3协议的特点可以看这里。根据上文的分析,T3协议由协议头包裹(前四个字节为...- 阅读剩余部分 -
#java, #反序列化漏洞, #xstream XStream 反序列化 XStream 反序列化 XStream可以将Java对象序列化成XML,也能将XML数据反序列化成Java对象。 既然XStream能够将XML数据转换成Java对象,那么当XML数据可控,在构建Java对象时就可能会出现问题。 XStr...- 阅读剩余部分 -
#java, #反序列化漏洞, #POP链 Java 反序列化链分析(URLDNS, CommonsCollections1-7, Groovy1) Java 反序列化链分析URLDNS利用的是java内置类 Gadget Chain: * HashMap.readObject() * HashMap.putVal() * HashMa...- 阅读剩余部分 -
#java, #内存马 通用Tomcat 内存马 通用Tomcat 内存马 下面知识点部分来自这里 Servlet:servlet是一种运行服务器端的java应用程序,具有独立于平台和协议的特性,并且可以动态的生成web页面,它工作在客户端请求与服务器响应的中间层。Servlet 的主要...- 阅读剩余部分 -