java安全
文章平均质量分 82
nn0nkey k1n9
我一生所追求,是真爱和自由。
展开
-
fastjson1.2.68对于文件操作的分析最全
这次分析也是分析了很久,因为每个链子都是自己去跟着分析了的,然后主要是去学习了一下怎么去挖链子。原创 2024-05-15 19:51:52 · 617 阅读 · 0 评论 -
爆赞好文之java反序列化之CB超详细易懂分析
CB链主要是通过优先队列和TemplatesImpl类完成的,如果你学习了CC链,这个链子就是得心应手为什么会出现CB2,因为CB1还是需要cc依赖的,而我们的cb2根本不需要cc的依赖就能够实现我们的反序列化了。原创 2024-05-07 19:20:42 · 878 阅读 · 0 评论 -
关于TrAXFilter类在动态加载的利用思考以及如何无视构造器获取对象
而且这个构造方法是public的,所以我根本不需要再添加其他代码,只需要实例化它就可以直接弹出计算机了,为什么还需要InstantiateTransformer类来实例化它呢?才想起是因为Runtime是没有继承序列化接口的,所以如果你直接实例化它,它是不能进行序列化的,也就不会反序列化了,所以我们得利用继承了序列化接口的类去搭。找不到方法,我们尝试了很久,都没有获取到,于是java爷给我讲了一个unsafe类,可以无视构造方法实例化一个类。可以发现获取成功了,nice,nice。运行后可以弹出计算器。原创 2024-04-25 21:51:14 · 524 阅读 · 1 评论 -
java反序列化之CC5超详细易懂分析
在你学习这篇文章之前,cc1和cc6已经已经是会的,这样才能更好的来理解这篇文章。原创 2024-04-22 21:27:12 · 187 阅读 · 1 评论 -
java反序列化之CC4超详细易懂分析
当然,学习这个链子之前,你得好好把cc3和cc2给看明白,这样你学起来就会很简单,因为cc4就是cc2+cc3,当然这里我会再给你讲解一下类的作用,顺便给我复习,也给你讲明白,写得不容易,免费的赞点一下吧。原创 2024-04-22 21:30:18 · 450 阅读 · 2 评论