Java安全之Fastjson反序列化漏洞分析 首发：先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，还需要学习一些Fastjson库的简单使用 ...

poc如下，dataSourceName 为rmi://localhost:1090/evil: RMIServer代码如下： 调试过程如下： 加载com.sun.rowset.JdbcRowSetImpl类 poc中autoCommit设置为true.会调 ...

Java安全之Fastjson内网利用 0x00 前言 在打Fastjson的时候，基本上都是使用JNDI注入的方式去打，也就是 JdbcRowSetImpl 链分析的链去打，但是遇到一些不出网的情况就没办法使用该链去执行命令。JdbcRowSetImpl 链分析 但在看到kingx师傅 ...

前言 从之前shiro、fastjson等反序列化漏洞刚曝出的时候，就接触ysoserial的工具利用了，不过这么久都没好好去学习过其中的利用链，这次先从其中的一个可以说是最简单的利用链URLDNS开始学起。 分析 单独看URLDNS的利用链，ysoserial的URLDNS代码：https ...

Ysoserial URLDNS链分析 文章首发安全客：https://www.anquanke.com/post/id/248004 0x00 写在前面 Java提供了一种序列化的机制可以将一个Java对象进行序列化后，用一个字节序列表示，并在Java虚拟机之间或网络间传输，之后可通过 ...

fastjson反序列化-JdbcRowSetImpl利用链 JdbcRowSetImpl利用链 fastjson反序列化JdbcRowSetImpl - Afant1 - 博客园 (cnblogs.com) 这里涉及了JNDI与RMI的概念。 其本质为JNDI注入。 附上示例代码 ...

ADAS产业链分析自动驾驶汽车（AutonomousVehicles，AV）指通过搭载先进传感器等装置，运用人工智能、视觉计算、雷达和全球定位及车路协同等技术，使汽车具有环境感知、路径规划和自主控制的能力，从而可让计算机自动操作的机动车辆。自动驾驶车辆最大特点是人工智能技术的主导，其驾驶过程是机器 ...

一，概述 zipkin的作用 在微服务架构下，一个http请求从发出到响应，中间可能经过了N多服务的调用，或者N多逻辑操作，如何监控某个服务，或者某个逻辑操作的执行情况，对分析耗时操作，性能瓶颈具有很大价值，zipkin帮助我们实现了这一监控功能。 二、安装zipkin 环境说明 ...