网络安全
文章平均质量分 93
网络安全相关知识
小白Lanb0
这个作者很懒,什么都没留下…
展开
-
[JAVA安全]JNI学习
Java的JNI()是一个编程框架,也可以视为一种接口,允许与编写的应用程序或库(通常是C和C++)之间进行交互。JNI对于需要使用已经存在的库(尤其是系统级库)或者为了性能优化需要的应用程序来说非常重要。原创 2023-12-20 00:36:16 · 146 阅读 · 0 评论 -
[2023TPCTF] mXSS利用之Walk Off The Earth
这道题引入了一个概念,工作量证明(Proof of Pow),也就是第一个考点。所以difficult越大,计算难度也就越大,那么如果我们找到了一个符合条件的字符串,那么就代表你通过计算完成了一些工作,系统就会给你一些奖励。之前没接触过区块链,所以做这道题时看到需要哈希碰撞就以为走不通,但是事实这种difficult下的计算对于现代计算机的算力来说小事一桩。现成的Pow强度检测工具使用时要注意,0的个数是以byte为单位的,所以题目给出的difficult为7,就是前7位。原创 2023-12-13 15:04:39 · 149 阅读 · 0 评论 -
[JAVA安全]Java-Agent初探
在Java中,“Agent”(代理)是指一个可以附加到Java虚拟机(JVM)上的程序,它可以JVM执行的应用程序的行为。这个术语的使用源于它的工作方式:它像一个代理一样在和之间进行工作,而不需要改变应用程序本身的代码。java Agent主要有2种方式-javaagentpremainmainagentmain。原创 2023-11-21 12:58:18 · 215 阅读 · 0 评论 -
[2023CISCN]国赛初赛WEB题目复现
最近几个月在学免杀,JAVA安全以及JS相关内容,导致CTF摆了很久,这次复现国赛题目就当做恢复训练了。原创 2023-10-23 23:00:26 · 567 阅读 · 0 评论 -
[JAVA安全]ROME链复现与分析
而在初步构造gadget时,我们先入为主地把。这里的ysoserial.Pwner类是yso在生成ROME链的generate payload时注入的恶意字节码,类似于我们自己写的Evil.class。经过了一段时间(折磨了1天)的代码阅读与大量的调试与修改,我把一些没有什么意义的代码精简后,实现了ysoserial payload的动态加载的效果。注意这里的key是ObjectBean@919,在之后反推和构造Gadgat时要用到,后续还会嵌套在其他对象里面,用IDEA给的编号确定对象位置。原创 2023-10-12 13:25:04 · 173 阅读 · 0 评论 -
[JAVA安全]全面学习JNDI机制与注入
看过很多讲解JNDI的文章,但大多是一上来就长篇大论的抽象解释让我很是头疼,命名接口目录映射统一的API… 感觉又回到了当初做英语阅读抠字眼的中学时期,所以今天,我决定先上几个实际的应用,在研究代码的同时体会一下JNDI的设计思想RMI是远程方法调用的缩写,它是一种在Java中创建分布式应用的机制,可以让一个系统(JVM)中的对象访问或调用另一个系统(JVM)中的对象的方法。RMI利用了两个对象:stub和skeleton,来实现远程通信。原创 2023-10-06 01:51:49 · 520 阅读 · 0 评论 -
[JS专项训练]Secure Portal
只有一个页面只有一个密码框。原创 2023-09-24 01:25:07 · 63 阅读 · 1 评论 -
[JS专项训练]File Library
{PORT${${原创 2023-09-23 18:05:18 · 53 阅读 · 1 评论 -
[JS专项训练]blitzprop WP
抽象语法树,类比来说,就是把你写的代码变成一棵树,每个节点都是代码的一部分,这样可以方便地对代码进行分析和操作。可以想象一下,你写的代码就像一本书,每个单词、标点符号、空格都有自己的含义和作用。但是如果你想要修改或者优化这本书,你可能需要花很多时间去找到你想要改变的地方,而且还要注意不要影响其他地方的内容。这时候,如果你能把这本书变成一棵树,每个节点都代表一个单词、标点符号、空格等等,那么你就可以很容易地找到你想要修改的节点,而且还可以用一些工具来帮助你完成修改。这就是抽象语法树AST的作用。以本题中的。原创 2023-08-21 12:22:08 · 58 阅读 · 1 评论 -
基于LazyList的Scala反序列化漏洞透析(CVE-2022-36944)
Scala反序列化的研究,原理及复现原创 2023-08-16 15:04:20 · 212 阅读 · 1 评论 -
[2023陕西省大学生网络安全大赛]WEB复现
环境:云演。原创 2023-06-13 21:27:23 · 152 阅读 · 0 评论 -
[GFCTF2021]文件查看器复现
一键编码脚本。原创 2023-05-24 02:01:05 · 260 阅读 · 0 评论 -
[2023阿里云CTF]ezBean复现及相关fastjson机制深入分析
tip:环境为JDK1.8。原创 2023-05-18 02:30:08 · 597 阅读 · 3 评论 -
从Mysql流量分析入手来一步步搭建JDBC反序列化利用的恶意Mysql服务
利用恶意mysql来进行JDBC反序列化漏洞的利用,这一次,我们试图自己来搭建一个mysql原创 2023-04-29 11:41:17 · 798 阅读 · 1 评论 -
2023CTFSHOW愚人杯部分WP
call_user_func**来RCE。原创 2023-04-04 16:47:02 · 690 阅读 · 5 评论