Posts
Java反序列化之Jackson原生反序列化
CISCN2023 Deserbug
CISCN2023 Deserbug
Java反序列化之Hessian反序列化
Java反序列化之Hessian反序列化
Java反序列化之Resin反序列化
Java反序列化之Resin反序列化
Java反序列化之ROME原生链
Java反序列化之ROME原生链
Java反序列化之Fastjson<=1.2.24反序列化
0x01前言 最近工作比较忙,给自己休整了几天,正好过两天就周末了要出门也没空学啥,所以打算把学习任务提前一下。原谅自己学习进度太慢了。。。 0x02Fastjson的序列化和反序列化 fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制,而是自定义了一套序列化机制。 在fastjson中提供了两种接口函数 JSON#toJSONString()实现对象的序列化操作 JSON#parseObject()/JSON#parse()实现对象的反序列化操作 但是对于Fastjson来说,并不是所有的java对象都能被序列化为JSON,只有JavaBean格式的对象才能被Fastjson转化成JSON格式 我们写个demo来看看序列化和反序列化流程的走向 class Person { //使用Alt+Insert键可以快速生成属性的getter和setter方法 public String name; public int age; public String getName() { System.out.println("执行了getName方法"); return name; } public void setName(String name) { System.out.println("执行了setName方法"); this.name = name; } public int getAge() { System.out.println("执行了getAge方法"); return age; } public void setAge(int age) { System.out.println("执行了setAge方法"); this.age = age; } } 然后我们写个序列化和反序列化的操作 ...
ctfshow入门常用姿势
ctfshow入门常用姿势
春秋云镜Delegation
考点: cve-2021-42643 diff提权 rdp密码爆破 rdesktop远程重置过期密码 注册表提权 DFSCoerce强制域认证+非约束性委派
春秋云镜Certify
考点: log4j2 jndi注入 grc提权 SMB 密码喷洒 Kerberoasting ESC1