In 2020ciscn final .We meet an easy js prototype pollution attack question named “Final-Monster Battle”.In my fault,it makes me angur.I understand if you want learn some thing well you need practice it.practice make perfect!

Read More

Symmetric Cryptography means this encryption algorithm use the same key for encryption and decryption. Although I am a web dog, encryption algorithm in some web question recently let me broken heart.

Read More

最近项目中碰到了两个shiro反序列化,能出网反弹shell失败的情况,和公司师傅请教了一下,豁然开朗,修改了一下ysoserial的一些源码,也成功打通了
改动的仓库https://github.com/Kit4y/shuyu-ysoserial
打包版本https://github.com/Kit4y/Awesome_shiro/tree/master/shiro_shuyu

为什么之前打不通?

两次项目均是这种情况,可以出网,可以反弹shell,但是命令执行就是没有回显

Read More

这是java代码审计入门的第三篇,其实才算真的入门了一点java代码审计的皮毛
如果大家对java一点都不懂,还是建议看本博客前2篇关于反序列化反射的基础知识

Read More

java反序列化

博客前面也记了很多php,python反序列化的内容,所以本文也就不再复述序列化反序列化的作用之类的,直奔主题-java的反序列化利用

Java 序列化是指把 Java 对象转换为字节序列的过程
ObjectOutputStream类的 writeObject() 方法可以实现序列化
Java 反序列化是指把字节序列恢复为 Java 对象的过程
ObjectInputStream 类的 readObject() 方法用于反序列化。

Read More

楔子

很久就想写和java审计有关的文章了,java博大精深,学得断断续续,最近来长亭实习,从旁边一个Java大牛师傅学了一下下,还是打算记一下,内容偏易,大牛绕道
目录

Read More

楔子

或许你很难相信,现实中曾经有一群小孩子在一个小山拗中读书,没有热水,没有食堂,没有厨房被要求独立生活。

Read More

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×