Java安全
文章平均质量分 91
1ighttack
自信、自律、自强、真诚、善良、阳光、上进、勇敢、努力、优雅
展开
-
shiro-550反序列化漏洞
前言:shiro反序列化原因是shiro的一个机制为了让浏览器或服务器重启后不丢失用户的登陆状态,会将用户信息保存到 rememberMe字段中 然后发送到服务端,服务端再对它进行base64解密,aes解密,再进行反序列化,由于在 1.2.4 这个版本里 shiro的key是固定的,所以可以通过构造一段恶意类经过aes加密再base64加密然后放到 rememberMe 伪造cookie信息,来让服务端加载,进而触发反序列化漏洞环境搭建:从github下载代码到本地下载shiro-r原创 2022-04-24 21:59:01 · 1004 阅读 · 0 评论 -
cc1学习
前言:本文主要记录学习cc1的过程,cc1是第一条也是最经典的一条利用链,后面几条利用链也是基本多多少少利用了这条链子,刚接触javacc链,过程中有错误理解不对的地方,欢迎师傅们指正分析过程:先简单提一下利用链是怎么形成的,也便我们好寻找org.apache.commons.collections.functors Commons Collections 自定义的一组功能类这组功能类里面有个 ConstantTransformer.java 是一个转换器,里面定义了一个 trans原创 2022-04-24 21:49:00 · 2031 阅读 · 0 评论