Java反序列化JDBC篇0x00 前言JDBC在POC利用上,跟JNDI、RMI有些类似,都是一个链接触发的事。 0x01 概述JDBC JDBC(Java DataBase Connectivity)是Java和数据库之间的一个桥梁,是一个 规范 而不是一个实现,能够执行...2025-04-07Java反序列化
Java反序列化Hessian篇0x00 前言Hessian反序列化的内容还是比较多的。 0x01 基础概念RPCRPC(Remote Procedure Call Protocol,远程过程调用协议),和我们熟知的RMI(Remote Method Invocation,远程方法...2025-03-31Java反序列化
justDeserialize题解分析把题目给的jar包反编译到term:(IDEA自带反编译器,文末给出对应的bat指令) 启动项目,发现两个限制: 上图限制了三个包,再看看下面限制的黑名单 1234567891011121314151617181920212223242526...2025-03-30Java反序列化
Java反序列化Rome篇0x00 前言Rome链本身比较简单,本文侧重于链子的变换和优化。 0x01 yso链子123456789101112131415161718/** * * TemplatesImpl.getOutputProperties() * NativeMe...2025-03-29Java反序列化
Java反序列化工具利用篇01-tabby0x00 前言tabby工具还是挺棒的,就是配置太麻烦,我也是在他人的帮助下完成,所以很有必要记一下。 0x01 tabby配置配置Java环境建议Java的环境变量设置成jdk17: 验证: 下载tabby项目本人使用:Release v1.3...2025-03-27Java反序列化
Java反序列化Hibernate篇0x00 前言Hibernate 漏洞并不难,本文就照着 yso 给的链子,给一点思路,主要是希望读者自行调试分析。 本文所使用的函数所封装的 Utils 类在文末给出。 0x01 Hibernate 1Hibernate >= 5前...2025-03-27Java反序列化
Java反序列化Jackson篇0x00 前言Jackson是目前很热门的工具: Jackson 是一个开源的Java序列化和反序列化工具,可以将 Java 对象序列化为 XML 或 JSON 格式的字符串,以及将 XML 或 JSON 格式的字符串反序列化为 Java 对象。 ...2025-03-21Jackson
Java反序列化Fastjson篇03-FastJson与原生反序列化0x00 前言比较重要,单开一章。 本文有些不妨调试的地方,我没有进行调试,有兴趣的读者不妨尝试一下。 0x01 思路常规的FastJson反序列化是传入JSON字符串,利用parse方法或者parseObject方法进行解析。 Java原生反序列化...2025-03-19Java反序列化
Java反序列化Fastjson篇02-FastJson攻击方式0x00 前言本文先讲解fastjson版本低于1.1.25的gadget,再讲解高版本绕过。 0x01 gadget <= 1.1.24概述FastJson反序列化与Serializable反序列化的区别: FastJson...2025-03-16Java反序列化
Java反序列化Fastjson篇01-FastJson基础0x00 前言本文将缩减调试配图,增加言语概述,对于新手理解本文有一定的难度(新手也不会看本文吧)。 0x01 概述概念 Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库,用于将数据在 JSON 和 Java O...2025-03-13Java反序列化