1. 前言 最近工作上剛好碰到了這個漏洞，當時的漏洞環境是： shiro-core 1.2.4 commons-beanutils 1.9.1 最終利用ysoserial的CommonsBeanutils1命令執行。 雖然在ysoserial里 ...

在 ysoserial中 commons-collections2 是用的 PriorityQueue reaObject 作為反序列化的入口 那么就來看一下 java.util.PriorityQueue.java 的 readObject方法 ...

Shiro550 環境搭建 參考：https://www.cnblogs.com/twosmi1e/p/14279403.html 使用Docker vulhub中的環境 docker ...

　　2015年11月6日，FoxGlove Security安全團隊的@breenmachine 發布的一篇博客[3]中介紹了如何利用Java反序列化漏洞，來攻擊最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS這些大名鼎鼎的Java應用，實現遠程代碼執行 ...

Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天氣冷，懶癌又犯了，加上各種項目使得本篇文斷斷續續。 0x01 Dubbo 概述 Dubbo是阿里巴巴開源的基於 Java 的高性能 RPC（一種遠程調用） 分布式服務框架（SOA），致力於提供高性能和透明化的RPC遠程服務 ...

Java安全之Fastjson反序列化漏洞分析 首發：先知論壇 0x00 前言 在前面的RMI和JNDI注入學習里面為本次的Fastjson打了一個比較好的基礎。利於后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，還需要學習一些Fastjson庫的簡單使用 ...

相關學習資料 目錄 背景 　　2015年11月6日FoxGlove Security安全團隊的@breenmachine 發布了一篇長博客，闡述了利用Java反序列化和Apache Commons Collections這一基礎類庫實現遠程命令執行 ...

團隊的@breenmachine 發布的一篇博客[3]中介紹了如何利用Java反序列化漏洞，來攻擊最新版的WebLogi ...