目录 一、RMI基础 1、RMI定义 2、RMI原理 1)、RMI架构 2)、RMI通信过程 3)、RMI和注册中心Register 4)、RMI通信的理解 3、RMI ...

功能： 命令行启动jar包，用户自定义启动RMI端口。默认内置Apache Commons Collections。只需一键启动即可测试java反序列化漏洞。 启动服务： 如果已经绑定端口： 工具下载： http://scan.javasec.cn/java ...

Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天气冷，懒癌又犯了，加上各种项目使得本篇文断断续续。 0x01 Dubbo 概述 Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC（一种远程调用） 分布式服务框架（SOA），致力于提供高性能和透明化的RPC远程服务 ...

Java安全之反序列化回显研究 0x00 前言 续上文反序列化回显与内存马，继续来看看反序列化回显的方式。上篇文中其实是利用中间件中存储的Request 和Response对象来进行回显。但并不止这么一种方式。 0x01 回显方式 中间件回显 defineClass ...

Java安全之JBoss反序列化漏洞分析 0x00 前言 看到网上的Jboss分析文章较少，从而激发起了兴趣。前段时间一直沉迷于工具开发这块，所以打算将jboss系列反序列化漏洞进行分析并打造成GUI的工具集。当然反序列化回显这块也是需要解决的一大问题之一，所以下面会出一系列文章对该漏洞的分析 ...

Java安全之Fastjson反序列化漏洞分析 首发：先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，还需要学习一些Fastjson库的简单使用 ...

Java安全之Cas反序列化漏洞分析 0x00 前言 某次项目中遇到Cas，以前没接触过，借此机会学习一波。 0x01 Cas 简介 CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG ...

目录 RMIRegistryExploit Jep290策略 CheckAccess策略 exploit.JRMPListener/payl ...