1. 前言 最近工作上刚好碰到了这个漏洞，当时的漏洞环境是： shiro-core 1.2.4 commons-beanutils 1.9.1 最终利用ysoserial的CommonsBeanutils1命令执行。 虽然在ysoserial里 ...

在 ysoserial中 commons-collections2 是用的 PriorityQueue reaObject 作为反序列化的入口 那么就来看一下 java.util.PriorityQueue.java 的 readObject方法 ...

Shiro550 环境搭建 参考：https://www.cnblogs.com/twosmi1e/p/14279403.html 使用Docker vulhub中的环境 docker ...

　　2015年11月6日，FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞，来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用，实现远程代码执行 ...

Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天气冷，懒癌又犯了，加上各种项目使得本篇文断断续续。 0x01 Dubbo 概述 Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC（一种远程调用） 分布式服务框架（SOA），致力于提供高性能和透明化的RPC远程服务 ...

Java安全之Fastjson反序列化漏洞分析 首发：先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，还需要学习一些Fastjson库的简单使用 ...

相关学习资料 目录 背景 　　2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客，阐述了利用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行 ...

团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞，来攻击最新版的WebLogi ...