java

Hessian反序列化

Hessian反序列化Hessian简介Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现...

java

XStream反序列化

XStream反序列化前言 XStream的漏洞很多且中间过程复杂,我这里很简单的看了一下,心中有个概念,所以这篇文章没有任何参考价值。 XStreamXStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象...

CTFwp

羊城杯2020 A Piece Of Java

[羊城杯 2020]A Piece Of Java源码逻辑不难,在hello对设置cookie键名为data进行反序列化 问题是用的是seriakiller进行的反序列化,并且用的白名单限制。 虽然题目自带了CC但是因为这个设置没...

CTFwp

SWPU2019-Web5

[SWPU2019]Web5题目给了个导入导出通讯录的功能,导出为xlsx文件,所以猜测是解析excel引起的xxe 验证一下 对[Content_Types].xml写入poc之后再压缩回去 1234<?xml version...

java

yaml反序列化-1 yaml基础

yaml反序列化-1 yaml基础yaml简介YAML是”YAML Ain’t a Markup Language”(YAML不是一种标记语言)的递归缩写,是一个可读性高、用来表达数据序列化的格式,类似于XML但比XML更简洁。 在J...

java

java类加载机制

java类加载机制学到后面发现自己还是基础不扎实,回来重新学一下。 类加载机制Java虚拟机把描述类的数据从Class文件加载到内存,并对数据进行校验、转换解析和初始化,最终形成可以被虚拟机直接使用的Java类型,这个过程被称作虚拟机...