Java安全之Fastjson反序列化漏洞分析 首發：先知論壇 0x00 前言 在前面的RMI和JNDI注入學習里面為本次的Fastjson打了一個比較好的基礎。利於后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，還需要學習一些Fastjson庫的簡單使用 ...

poc如下，dataSourceName 為rmi://localhost:1090/evil: RMIServer代碼如下： 調試過程如下： 加載com.sun.rowset.JdbcRowSetImpl類 poc中autoCommit設置為true.會調 ...

Java安全之Fastjson內網利用 0x00 前言 在打Fastjson的時候，基本上都是使用JNDI注入的方式去打，也就是 JdbcRowSetImpl 鏈分析的鏈去打，但是遇到一些不出網的情況就沒辦法使用該鏈去執行命令。JdbcRowSetImpl 鏈分析 但在看到kingx師傅 ...

前言 從之前shiro、fastjson等反序列化漏洞剛曝出的時候，就接觸ysoserial的工具利用了，不過這么久都沒好好去學習過其中的利用鏈，這次先從其中的一個可以說是最簡單的利用鏈URLDNS開始學起。 分析 單獨看URLDNS的利用鏈，ysoserial的URLDNS代碼：https ...

Ysoserial URLDNS鏈分析 文章首發安全客：https://www.anquanke.com/post/id/248004 0x00 寫在前面 Java提供了一種序列化的機制可以將一個Java對象進行序列化后，用一個字節序列表示，並在Java虛擬機之間或網絡間傳輸，之后可通過 ...

fastjson反序列化-JdbcRowSetImpl利用鏈 JdbcRowSetImpl利用鏈 fastjson反序列化JdbcRowSetImpl - Afant1 - 博客園 (cnblogs.com) 這里涉及了JNDI與RMI的概念。 其本質為JNDI注入。 附上示例代碼 ...

ADAS產業鏈分析自動駕駛汽車（AutonomousVehicles，AV）指通過搭載先進傳感器等裝置，運用人工智能、視覺計算、雷達和全球定位及車路協同等技術，使汽車具有環境感知、路徑規划和自主控制的能力，從而可讓計算機自動操作的機動車輛。自動駕駛車輛最大特點是人工智能技術的主導，其駕駛過程是機器 ...

一，概述 zipkin的作用 在微服務架構下，一個http請求從發出到響應，中間可能經過了N多服務的調用，或者N多邏輯操作，如何監控某個服務，或者某個邏輯操作的執行情況，對分析耗時操作，性能瓶頸具有很大價值，zipkin幫助我們實現了這一監控功能。 二、安裝zipkin 環境說明 ...