Clojure 反序列化

最新推荐文章于 2024-11-04 20:33:37 发布
最新推荐文章于 2024-11-04 20:33:37 发布
阅读量249 收藏
点赞数
分类专栏: java安全 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/122704313
版权

Clojure 反序列化

依赖

<dependency>
    <groupId>org.clojure</groupId>
    <artifactId>clojure</artifactId>
    <version>1.8.0</version>
</dependency>

Gadget

/*
 * Gadget:
 *   HashMap#readObject
 *     AbstractTableModel$ff19274a#hashCode
 *       core$comp$fn__4727#invoke
 *         core$constantly$fn__4614#invoke
 *           main$eval_opt#invoke
 * */

main$eval_opt#invoke 方法可以执行命令,传递需要执行的命令字符串即可,命令字符串可以这样构造 (use '[clojure.java.shell :only [sh]]) (sh "calc")

image-20220123224723339

HashMap.readObject 调用任意一个类的 hashCode 方法,这里调用 AbstractTableModel$ff19274a#hashCode 方法,根据 RT#get 方法的逻辑,可以控制 var10000 的值,只需要让 __clojureFnMap 属性为 PersistentArrayMap 对象,并且加入一个 hashCode 键的元素进去即可

image-20220123225200962

然后调用 invoke 方法,这里调用的是 core$comp$fn__4727#invoke 方法,通过构造可以让 var10001.invoke(var10002) 返回命令字符串

image-20220123225352325

然后 var10000.invoke 调用的是 main$eval_opt#invoke 方法,此方法可以调用命令字符串执行命令

0x6b79
关注
专栏目录
clj-kryo:Clojure 库到 Kryo 序列化 API
06-27
Kryo 的 Clojure 包装器,一种快速高效的 Java 对象图序列化框架。 莱宁根 [org.clojars.runa/clj-kryo " 1.5.0 " ] 用法 最好通过以下示例来解释: ( require '[clj-kryo.core :as kryo]) ( defn kryo-round-trip...
transit:跨平台传输(反序列化
03-06
跨服务和语言边界的数据结构的跨平台(反序列化)。 要求 , , , ClojureClojureScript 该库消除了transit-clj和transit-cljs之间的接口差异,这可能是暂时的特质。 如果该库将被淘汰transit实现一个共同的...
【原】storm源码之巧用java反射反序列化clojure的defrecord获取属性值
weixin_30785593的博客
08-14 81
storm源码是clojurejava、python的混合体。在解决storm-0.8.2的nimbus单点问题的过程中需要从zookeeper上读取目前storm集群中正在运行的assignments信息,以获取其代码在nimbus机器上的绝对路径(PS:通过java代码实现自定义的storage)。 assignments信息可以通过CuratorFramework框架的客户端读取zook...
[Java反序列化]—Rome反序列化
Sentiment的博客
04-28 571
ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。
Javaweb安全——Dubbo 反序列化(一)
weixin_43610673的博客
02-13 1541
Apache Dubbo 是一款 RPC 服务开发框架。智能容错和负载均衡,以及服务自动注册和发现。
漏洞复现——shiro反序列化
小林说安全的博客
05-22 5427
漏洞复现——shiro反序列化
Django Rest Framework 1:序列化与反序列化
dangfulin的博客
08-22 1767
这个案例来自于官网django-rest-framework.org 一,搭建开发环境 1,创建django项目tutorial django-admin.py startproject tutorial 2,创建应用snippet python manage.py startapp snippet 3,安装DRF pip install djangorestframework pip install pygments # 用于代码高亮 4,配置settings.py INSTALLED_APPS
Nippy: 最快的Clojure序列化库
gitblog_01044的博客
09-15 941
Nippy: 最快的Clojure序列化库 nippy The fastest serialization library for Clojure 项目地址: https://gitcode.com/gh_mirrors/ni/n...
数据序列化框架——Kryo
蒋含竹的博客
08-22 4432
文章目录数据序列化框架——Kryo1. 概览2. Java中使用Kryo示例2. Scala中使用Kryo示例 数据序列化框架——Kryo 1. 概览 简介     Kryo是一款专用于Java的快速、高效的数据序列化的框架,同时也支持Scala、Clojure、Objective-C等 特点 快速、高效、占用空间小 使用简单(不用像protobuf一样...
java反序列化数据过滤
GalaxySpaceX的博客
12-12 296
java反序列化数据过滤
Clojure惰性序列的头保持问题
chuangong2592的博客
08-05 237
Clojure编程》一书中有一个例子: (let[[t d](split-with #(< % 12) (range 1e8))] [(countd) (countt)]) ;= OutOfMemoryError Java heap space clojure.lang...
schism:具有EDN序列化的Clojure(脚本)中的CRDT
05-13
分裂 一组电池包括Clojure核心数据类型(集合,... 与Clojure自己的持久性数据结构相比,它为集合数据结构提供更大的存储和序列化成本,而Clojure的持久性数据结构随着集合中元素数量的上限而增长,而与对该集合进行的
cljson:ClojureClojureScript库用于加速浏览器数据反序列化
05-01
尽管基于使用JSON作为传输格式的相同思想,但它可能更有效,并且支持ClojureClojureScript之外的众多平台之间的互换。 在过去的几个月中,我们一直在使用Transit,,它一直是很好的体验。 cljson 使用cljson...
clojure
03-18
此外,Clojure还支持惰性序列,这是一种延迟计算的机制,只有在需要时才会计算结果。 3. **强类型系统**:尽管Clojure是动态类型的,但它在底层使用了JVM的类型系统,提供了类型检查和优化的可能性。通过spec或core...
HashMap为什么线程不安全?
rnnf_yyds的博客
11-03 442
HashMap底层是基于数组 + 链表(在 Java 8 以后,当链表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入链表(或树)时,线程 B 也获取到了这个位置的节点。
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 933
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
服务器虚拟化
Hellc007的博客
10-30 974
服务器虚拟化是一种将物理服务器的计算资源分割为多个独立虚拟环境的技术,通过软件层将底层硬件资源抽象化并在上层构建多个虚拟机(Virtual Machine, VM)。每个虚拟机运行独立的操作系统和应用程序,相互之间不受干扰,具备类似于物理服务器的功能。这种技术使得一台物理服务器能够承担多台虚拟服务器的角色,从而极大地提升了硬件资源的利用率。服务器虚拟化的概念最早可追溯到20世纪60年代IBM大型机时代,当时虚拟化被用来将大型机的资源分配给多个任务,使得企业在有限的资源下能够同时运行多个应用。
JAVA 插入 JSON 对象到 PostgreSQL
qq_52143611的博客
10-30 980
在现代软件开发中,由于 JSON 数据的轻量和通用性,处理 JSON 数据已经变得无处不在。PostgreSQL凭借其对 JSON 的强大支持,为存储和查询 JSON 数据提供了出色的平台。为了将JSON数据保存到PostgreSQL数据库中,我们可以将JSON数据转换为PostgreSQL的JSONB类型数据,然后将其存储在数据库中。在Java中,我们可以使用JDBC或者基于ORM框架的方式来实现这一功能。
spring循环依赖解决方式
最新发布
qq_36400213的博客
11-04 486
字段注入和setter注入则提供了更多的灵活性,但需要更谨慎地管理对象的状态。方法注入和注解注入则适用于特定的场景。在Spring框架中,依赖注入(Dependency Injection,DI)是一种实现控制反转(Inversion of Control,IoC)的机制,用于将对象的依赖关系自动注入到对象中。这种方式不如构造器注入严格,但比字段注入更灵活,因为它可以在不创建新实例的情况下改变对象的依赖。这种方式是推荐的,因为它可以保证对象在创建时就处于完全初始化的状态,并且可以使得bean不可变。
Clojure高级指南:序列、并行与异步编程
本书涵盖了Clojure中关键技能的方方面面,包括但不限于序列处理、并行与并发管理、使用Reducers进行并行化、宏(Macros)进行元编程、Transducers的应用、以及逻辑编程、异步任务、反应式编程等现代编程范式。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值